>症状:
- 在起始页上插入一些指向不同购物网站的奇怪链接
- mydomain.com/page_name=XYZ&id=123 重定向到不同的购物网站(通过评论提示)
已经尝试过:
- 找到了 PHP Entry eval(base64_decode('ICRmZl9vdXRsaW5rX2ZpbGVf...在页脚.php中,负责一些奇怪的链接注入 ->删除了
- 文件和数据库搜索"eval","page_name"和其他可疑关键字 ->没有发现明显的错误
但必须有更多的后门
page_name和id VARS(症状)组合的提示是由匿名评论带来的(奇怪?
有人遇到同样的问题或知道解决方案吗?
这很奇怪!我建议通过 shell 搜索带有大哈希字符串的文件:
find ./ -name "*.php" -type f -print0 | xargs -0 grep '[a-zA-Z0-9]'{400'}'
这将为您提供一个列表。在我的根文件夹中,我的根文件夹中是一个文件包含.class.php其中包含后门的许多内容。更多文件(带有加密名称)位于我的 wp-include/文件夹中。他们似乎负责创建后门文件。删除后门文件和加密文件!
玩得开心:)
检查 Wordpress Codex:帮助 我想我被黑客入侵了。这是您会发现的最好的建议。