问题描述
我已经用了 2 天的时间来解决这个问题,希望能有一些额外的想法。
这些链接只能在 wp-content/cache/wp-rocket .html 文件中找到,而它们并不存在于实际的实时页面中。
我尝试在所有文件中搜索各种字符串:-9999、thewpclub、sorry_function。我搜索了数据库,但根本找不到任何东西。
WordFence 和 Sucuri 在文件中没有发现任何奇怪的脚本。
这是某人遇到的最接近的问题:
Malicious text appears in all pages and posts. How do I get rid of it?
<a href="https://www.thewpclub.net">Premium wordpress Themes Download</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.themeslide.com">Download wordpress Themes Free</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.script-stack.com">Download wordpress Themes</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.thememazing.com">Premium wordpress Themes Download</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.onlinefreecourse.net">free download udemy paid course</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.frendx.com/firmware/">download xiomi firmware</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.themebanks.com">Download wordpress Themes Free</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://downloadtutorials.net">udemy free download</a></div></div></div></div>
解决方法
好的,我设法解决了。
我知道恶意软件并非“一刀切”。我要求提供额外的想法,因为有人可能会提示如何处理它,因为多年来我对这些情况了如指掌并且有能力处理这些情况。
在多次尝试搜索各种字符串失败后,尝试用十六进制编码几个单词并搜索它们,搜索插件等。我检查了缓存的 .html 文件并注意到这些链接隐藏在 WooCommerce {{1 }} div。
然后我在所有 WP 文件中搜索了 delivery-info 字符串,我得到了大约 50 次点击。我发现其中一位开发人员添加的可疑行将 delivery-info div 与 delivery-info 字符串一起调用。
然后我在所有插件中搜索了 $content 字符串,并获得了无数次点击。搜索了一段时间后,我终于找到了导致它的脚本。它隐藏在 WPBakery - js-composer/include/inc.php 文件中,该文件不应该存在。文件中的一行:
$content
我删除了那个文件,然后搜索了 $abc1 = '' . $divclass . '<a href="'.sanitize_context_zero("aHR0cHM6Ly93d3cudGhld3BjbHViLm5ldA==").'">' . $array[array_rand($array) ] . '</a></div>'; 并在 inc.php 中找到了它。