我的网站被黑了:我现在该怎么办？

Question

我的wordpress网站被黑了。通过这个程序：

http://sitecheck.sucuri.net/ (...)

我发现它涉及2个文件(目前)，它是。js文件。

....dk/wp-includes/js/l10n.js？ver = 20101110 ....dk / wp-includes / js / jquery / jquery.js？版本= 1.6.1

它是某种特洛伊木马程序(Cruzer B)。(攻击者)插入的代码在两个文件中都很明显(通过记事本看到过)

其中一个文件的原始代码如下所示：

函数convertEntities (b) {var d，a，d=函数(c) {if (/&^;+;/.测试(c)) {var f= document.createElement ("div")；f. innerHTML = c；返回！f.firstChild？c: f.firstChild.nodeValue}返回c}；if (typeof b ===“string") {return d ( b) } else {if (typeof b ===”=== ") {for (a in B) {if (typeof b a===“string") {b a=d (b A)}返回b}；

我是否可以手动删除这两个站点中的被黑客攻击的代码，并期望站点可以再次工作，或者我甚至会销毁更多的东西？

Answer 1

下载一个新的Wordpress副本(确保获得相同的版本)，解压缩它并查看文件是否存在。

如果是，请将安装中的文件替换为原始文件。

如果它们不是，您应该能够删除它们。

Answer 2

我最近清理了一个由不安全脚本timthumb.php引起的相同漏洞攻击的网站

首先，请确保将timthumb替换为updated version。如果你已经替换了所有的WordPress文件，你需要确保你的主题文件都是干净的(即使是未激活的主题)。

我还发现shell脚本隐藏在服务器的/tmp目录和wp-config.php中，您可能还没有替换它们。在wp-config.php中，恶意代码隐藏在3000个空白行之后，因此请确保您确实位于正在检查的任何文件的末尾。