WordPress 恶意软件 / top:0;左:-9999px URL's

WordPress malware / top:0; left:-9999px URL's

这个问题让我头疼了 2 天,希望能有一些额外的想法。

这些链接只能在 wp-content/cache/wp-rocket.html 文件中找到,而不会出现在实际的实时页面中。

我尝试在所有文件中搜索各种字符串:-9999、thewpclub、sorry_function。我搜索了数据库,但根本找不到任何东西。

WordFence 和 Sucuri 没有在文件中找到任何奇怪的脚本。

这是某人遇到的最接近的问题:

Malicious text appears in all pages and posts. How do I get rid of it?

<a href="https://www.thewpclub.net">Premium WordPress Themes Download</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.themeslide.com">Download WordPress Themes Free</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.script-stack.com">Download WordPress Themes</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.thememazing.com">Premium WordPress Themes Download</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.onlinefreecourse.net">free download udemy paid course</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.frendx.com/firmware/">download xiomi firmware</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://www.themebanks.com">Download WordPress Themes Free</a></div><div style="position:absolute; top:0; left:-9999px;"><a href="https://downloadtutorials.net">udemy free download</a></div></div></div></div>

好的,我设法解决了。

我知道“一刀切”对于恶意软件并非如此。我问了一些额外的想法,因为有人可能会提示如何处理它,因为我消息灵通并且有能力多年来处理这些情况。

在多次尝试搜索各种字符串失败后,尝试将几个单词编码为十六进制并搜索这些单词,搜索插件等。我检查了缓存的 .html 文件并注意到这些链接隐藏在 WooCommerce delivery-info div.

然后我在所有 WP 文件中搜索了交付信息字符串,我得到了大约 50 次匹配。我发现了其中一位开发人员添加的可疑行,它调用了 delivery-info div 和 $content 字符串。

然后我在所有插件中搜索 $content 字符串,结果有很多。搜索了一段时间后,我终于找到了导致它的脚本。它隐藏在 WPBakery - js-composer/include/inc.php 不应该存在的文件中。文件中的一行:

$abc1 = '' . $divclass . '<a href="'.sanitize_context_zero("aHR0cHM6Ly93d3cudGhld3BjbHViLm5ldA==").'">' . $array[array_rand($array) ] . '</a></div>';

我删除了那个文件,然后搜索 inc.php 并在 js-composer.php 中找到了一个搜索结果。