最新消息:

网站的马其顿防线

php 大步 932浏览 0评论

http://ww1.sinaimg.cn/mw690/70b92d28gw1e52rg7gh41j20xc0pjjwc.jpg

天去编辑主题的function.php发现主题居然感染了function.php病毒,而且感染了博客所有的主题function.php文件,蛋疼的很呀!本以为自己亲自选主题,查看主题代码,然后自己亲自汉化,这样做就可以万无一失,现在看来,我是重演了法国当年的马其顿防线的悲剧。

感染的来源,我分析了下,应该是我经常修改完善主题,会在本地测试主题且编辑function.php,然后再上传,问题就出在本地测试的过程中,我并未删除平时从网上下载的那些免费主题,导致自己汉化的主题的function.php被感染,接着又被我上传到vps上,由此感染了所有主题function.php文件。唉,自以为亲自审查代码,汉化就不会中招,哪想过本地测试的时候会被自己从网上下载的那些包含恶意代码的文件感染。这是真正的马其顿防线的悲剧。

网站的安全不是单方面的,从服务器到网站程序,再到管理人员意识和习惯,整个过程都是一体的,哪个出现了缺口,那么其他的哪怕你做的再好,也是徒劳的。就和水桶的短板效应一样。今天算是又长了见识了。

以下是恶意代码解析和解决办法,我个人建议是删除所有主题,然后在上传干净的,远比删除代码更容易,也更干净,然后就是把其他的一些账号 之类的也换了。

建议,大家还是不要乱下免费的主题,要用的话,也建议审查下主题源代码,而且保存未受感染的,然后定期进行原始代码和现有的代码的对比,这样就能及时发现自己的博客是否中招了,而不仅仅是针对这种类型的病毒。

检查主题是否感染中招,其特征如下(引用自《wordpress恶意代码盗取网站权限》):

1.存在于wp-content/themes下的所有主题的所有functions.php文件里,以这些函数特征出现的代码。

function _checkactive_widgets
function _get_allwidgets_cont
function stripos
function strripos
function scandir
<span style="color: #ff0000;">add_action("admin_head", "_checkactive_widgets");</span>
function _getprepare_widget
<span style="color: #ff0000;">add_action("init", "_getprepare_widget");</span>
function __popular_posts

2.一旦发现了上面的函数,大家就要小心这个主题了。
你可以不再使用该主题。但是你被它的外观吸引了,非常的漂亮,还想使用,怎么办呢?按照下面的方法处理:
1、首先删除这些函数,并保存。
2、搭建本地php环境,安装wordpress(最新版)。
3、安装删除了恶意代码的主题。
4、观察有没有溢出问题(有时会进不了后台)
5、发现装载正常后,停用该主题。启用默认主题。
6、检查默认主题,如果没有上面的恶意代码,应该是清除了。

 

引用文章为《网上的主题感染严重》,受感染function.php分析如下:

 

 

转载请注明:大步's Blog » 网站的马其顿防线

    • 是的 ,下过一个破解汉化的主题,我自己特意看了下,有后门,就放弃了那个主题

SiteMap