我的网站被黑了吗?
Are my websites hacked?
突然间,所有类型的 Wordpress 站点在 header.php 和 index.php 文件中显示非常奇怪的代码。它跨越多个服务器,所以看起来有人真的掌握了我所有的服务器详细信息。
插入 header 中的代码如下所示:
这会是什么?以及有关如何解决此问题的任何提示(我在这里谈论的是大约 50 个网站..)
我尝试在各种解码器中解码代码,但没有解码..
听起来确实像黑客。我不认为你是第一个,因为 wordpress.org 上有一个关于这个的帖子:https://wordpress.org/support/topic/headerphp-hacked-need-advice-have-tried-everything
您被黑客入侵的可能性非常大。但有趣的部分应该是检查他们是如何进入系统的。看到所有代码,我首先想到的是使用无效主题和插件。通常人们可能会安装来自未知来源的插件,这些插件很可能已被某些用户更改。所以你可能没有被真正的黑客入侵,那会很烦人。
尝试复制红色部分(字符串)并使用php的base64_decode函数对其进行解码,90%的黑客使用base64_decode和eval函数来混淆他们的代码。大多数情况下,此混淆代码用于添加表单字段,然后他们可以在其中上传直接执行的文件。
唯一的解决办法是更改密码,找到负责的代码并将其从整个站点中删除(尝试多个文件搜索和替换)。安装一个好的防火墙,我喜欢 wordfence。如果可能,请使用二级验证,例如短信或 google 帐户。不要安装无效的主题和插件。
大多数 Wordpress 黑客利用过时的插件。你应该经常更新它们。不幸的是,Wordpress 以此类黑客攻击而闻名。
只有一次,我遇到了托管提供商服务器遭到破坏的问题。这真的很奇怪。
如果我处在你的位置,我会
- 制作数据库备份
- 备份文件(以防万一)
- 删除所有文件
- 重新安装最新版本的 Wordpress
- 导入数据库(确保帖子未被泄露或是否存在
是您不认识的用户,请将其删除)
- 安装最新插件
- 安装主题(如果需要)
此外,我会在虚拟机(本地)中设置受感染的网站,并了解您是如何被感染的(可选)
这绝对是被黑了。我每天都在处理这类问题。
Omer Farooq 是正确的,因为使用 Nulled 主题/插件会导致您的网站出现后门 - 特别是 CryptoPHP 后门。
任何加密的东西都应该被怀疑并进一步调查。您可能并不总是能够解密它,因为黑客有时会使用不止一层加密来混淆他们的代码。这是为了愚弄 'security plugins'(注意 '',因为我还没有找到真正有效的),因为它们倾向于扫描代码签名。他们因此很容易被愚弄。
解决方案:
下载一个干净的 Wordpress 副本并将其解压缩到一个文件夹中。现在并排查看该文件夹与您网站主目录的内容。您可能会发现一两个不应该存在的以 wp_ 开头的文件。查看代码 - 如果它已加密,请将其删除。
还要检查所有文件和文件夹的时间戳,因为它会让您了解更改的内容。
当一切都失败时,请联系我寻求帮助。
突然间,所有类型的 Wordpress 站点在 header.php 和 index.php 文件中显示非常奇怪的代码。它跨越多个服务器,所以看起来有人真的掌握了我所有的服务器详细信息。
插入 header 中的代码如下所示:
这会是什么?以及有关如何解决此问题的任何提示(我在这里谈论的是大约 50 个网站..)
我尝试在各种解码器中解码代码,但没有解码..
听起来确实像黑客。我不认为你是第一个,因为 wordpress.org 上有一个关于这个的帖子:https://wordpress.org/support/topic/headerphp-hacked-need-advice-have-tried-everything
您被黑客入侵的可能性非常大。但有趣的部分应该是检查他们是如何进入系统的。看到所有代码,我首先想到的是使用无效主题和插件。通常人们可能会安装来自未知来源的插件,这些插件很可能已被某些用户更改。所以你可能没有被真正的黑客入侵,那会很烦人。
尝试复制红色部分(字符串)并使用php的base64_decode函数对其进行解码,90%的黑客使用base64_decode和eval函数来混淆他们的代码。大多数情况下,此混淆代码用于添加表单字段,然后他们可以在其中上传直接执行的文件。
唯一的解决办法是更改密码,找到负责的代码并将其从整个站点中删除(尝试多个文件搜索和替换)。安装一个好的防火墙,我喜欢 wordfence。如果可能,请使用二级验证,例如短信或 google 帐户。不要安装无效的主题和插件。
大多数 Wordpress 黑客利用过时的插件。你应该经常更新它们。不幸的是,Wordpress 以此类黑客攻击而闻名。
只有一次,我遇到了托管提供商服务器遭到破坏的问题。这真的很奇怪。
如果我处在你的位置,我会
- 制作数据库备份
- 备份文件(以防万一)
- 删除所有文件
- 重新安装最新版本的 Wordpress
- 导入数据库(确保帖子未被泄露或是否存在 是您不认识的用户,请将其删除)
- 安装最新插件
- 安装主题(如果需要)
此外,我会在虚拟机(本地)中设置受感染的网站,并了解您是如何被感染的(可选)
这绝对是被黑了。我每天都在处理这类问题。
Omer Farooq 是正确的,因为使用 Nulled 主题/插件会导致您的网站出现后门 - 特别是 CryptoPHP 后门。
任何加密的东西都应该被怀疑并进一步调查。您可能并不总是能够解密它,因为黑客有时会使用不止一层加密来混淆他们的代码。这是为了愚弄 'security plugins'(注意 '',因为我还没有找到真正有效的),因为它们倾向于扫描代码签名。他们因此很容易被愚弄。
解决方案:
下载一个干净的 Wordpress 副本并将其解压缩到一个文件夹中。现在并排查看该文件夹与您网站主目录的内容。您可能会发现一两个不应该存在的以 wp_ 开头的文件。查看代码 - 如果它已加密,请将其删除。 还要检查所有文件和文件夹的时间戳,因为它会让您了解更改的内容。
当一切都失败时,请联系我寻求帮助。