前些日子在和移动硬盘之间同步文件时就发现了WordPress主题目录中所有主题的functions.php都变化了,末尾增加了内容,当时也没太在意,因为印象中用知更鸟hotnews主题的时候曾见到说什么东西会往functions.php中注入东西而让将该文件改为只读,还以为属于正常现象。今天访问一个应用hybrid news主题的站点出错,Fatal error: Cannot redeclare _verify_isactivate_widgets() ,去掉functions.php中增加的内容好了,这才查了查该文件中增加的代码,网上不少资料介绍 参考: 这是一串恶意代码,虽然不影响主题的使用(有的时候是影响的,当收到双重感染的时候,_verifyactivate_widgets函数会出现两次,导致了主题不能使用),但这段代码将会通知代码的作者(邮件方式),而且PHP可以任意的获取用户名、博客的主题文件等等,而且它还特地为博客创建了一些看上去非常有用的代码,一些挂件等等,一切的一切都被暴露给这段代码的作者。 这段代码的功能就是搜集博客的资料,各种资料,包括文章、用户和评论等等。你的博客很有可能成为为别人创造内容和财富的肉鸡。 1、可能会提示_verifyactivate_widgets函数声明了两次,程序错误,主题不能使用; 2、当前博客下的所有主题的functions.php中都会带下面这段代码; 3、即使你通过FTP将这段代码删除,但你只要再运行一次博客,它就会像噩梦一样重新回来 参考: 这个恶意代码,在每次有人访问你的博客页面时会检测是否当前博客下面的所有主题都已经被感染,如果没有,则一并感染之。 完了之后,在wp的初始化动作init执行时,它会检查当前博客是否已经发送邮件到livethemas@gmail.com 这个邮箱(它怎么知道自己发送了没有呢?在你的wp_options表中保存了一个名字为_is_widget_active_ 的选项,如果已经发送成功,则把它的值设置为1 ),如果没有,则以当前被感染博客的主页URL为标题和内容,向 livethemas@gmail.com 这个邮箱 发送邮件。
本文目录
本文目录