我的网站被黑了吗？

Question

突然之间，所有的Wordpress站点都在header.php和index.php文件中显示了非常奇怪的代码。它跨越多个服务器，所以看起来有人真的掌握了我所有的服务器细节。

在标题中插入的代码如下所示：

​

​

这能是什么？还有任何关于如何解决这个问题的建议(我说的是大约50个网站)

我试着用各种各样的解码器来解码代码，但没有得到解码..

Answer 1

听起来像个黑客。我不认为你是第一个，因为wordpress.org有一条关于这一点的线索：https://wordpress.org/support/topic/headerphp-hacked-need-advice-have-tried-everything

Answer 2

你被黑的可能性很大。但有趣的部分应该是检查他们是如何进入系统的。第一件事在我的脑海中，看到所有的代码是使用无效主题和插件。通常情况下，一个人可能从未知的来源安装插件，有一个合理的可能性，这些插件可能已经被一些用户更改。所以你可能没有被一个活生生的黑客入侵，这会让你很烦人。

尝试复制红色部分(字符串)并使用php的base64_decode函数对其进行解码，90%的黑客使用base64_decode和eval函数混淆他们的代码。大多数情况下，这些模糊代码用于添加一个表单字段，然后他们可以上传一个直接执行的文件。

唯一的解决方案是更改密码，找到负责的代码并将其从整个站点中删除(尝试多个文件搜索并替换)。安装一个好的防火墙，我喜欢字篱笆。如果可能的话，可以使用二级验证，比如sms或google帐户。不要安装无效的主题和插件。

Answer 3

这绝对是黑了。我每天都在处理这类问题。

奥默法鲁克是正确的，使用Nulled主题/插件将导致后门在您的网站-特别是CryptoPHP后门。

任何被加密的东西都应该被怀疑和进一步调查。您可能并不总是能够解密它，因为黑客有时使用一层以上的加密来混淆他们的代码。这是为了愚弄“安全插件”(请注意，我还没有找到一个真正有效的插件)，因为它们倾向于扫描代码签名。因此，他们很容易被愚弄。

解决方案：

下载一份干净的Wordpress副本并将其解压缩到一个文件夹中。现在，与您的网站主目录的内容并排查看该文件夹。您可能会发现一个或两个以wp_开头的不应该存在的文件。查看代码--如果它是加密的，请删除它。同时检查所有文件和文件夹上的时间戳，因为它将使您了解更改的内容。

当其他一切都失败时，请与我联系寻求帮助。