吾们…

检查WordPress主题是否有后门

7 Replies , Posted in 杂七杂八 on May 26, 2012

        最近发现博客运行某主题后，其它主题全部失效，打开后显示一段代码。经检查发现原来是我的新主题中的functions.php文件有后门，这个后门相当可恶它可以感染你WordPress下全部主题的functions.php文件。
        就算你其他主题原本没后门，当你使用了有后门的主题后这个后门就会给你的全部主题都给加上后门，这个后门把你的网站的标题还有网址发送到某一个邮箱。

        无意中被黑好几次了。现给大家分享一下functions.php下的后门的样本大家可以对照一下自己的functions.php文件检查是否中招了。中招后删除即可。

        查一下是否有以下代码，有的话基本确定是后门。

add_action("admin_head",

        再查一下这个代码，这里是用来干坏事的，这才是这个恶意代码的目的,前面的感染是“准备活动”

add_action("init", "_getprepare_widget");

        如果你发现症状对上以后，有两种解决方法：
        1、找到这个原文件覆盖一下；
        2、删除包括这段代码之后所有代码（这段代码前面还有一个括号问号PHP一起删掉）。有的代码有一定变化，自行琢磨一下即可。

function _checkactive_widgets(){

        当你发现问题后，你必须将所有主题下的这个文件都检查一遍，可以肯定，只要你运行过有后门的主题，你的其它主题都中招了。必须修改或替换functions.php文件。

        2012年6月5日：新发现又一后门代码，这段代码稍微厚道点，感染其它主题后还不至于让其它主题失灵。新的代码以以下代码开头。（前面的括号问好PHP就不写了）

function _check_isactive_widget(){

        以以下代码结尾：

$output .= $before . " " . $post_title . " " . $after; } } else { $output .= $before . "None found" . $after; } return $output; } ?>

        同理，以上代码统统删掉了事。

标签: WordPress, 代码, 后门, functions