WordPress的黑客攻击，包括反向

Question

症状：

• 一些奇怪的链接到不同的购物网站在首页insertet
• mydomain.com/page_name=XYZ & ID = 123重定向到不同的购物网站（按提示评论）

已经尝试过：

• 发现PHP入门的eval（BASE64_DECODE（'ICRmZl9vdXRsaW5rX2ZpbGVf ......在footer.php，这是负责一些奇怪的链接注射 - >删除的
• 文件& DB搜索 “EVAL”，“PAGE_NAME “和其他可疑的关键字 - >没有发现什么明显的错误

但必须有一些BACKDOOR

与组合PAGE_NAME和id VARS（症状）提示被带到由匿名评论（奇怪？）

有人得到同样的问题或知道解决方案？

Answer 1

多数民众赞成在奇怪！我建议通过shell来搜索文件大hashstrings：

find ./ -name "*.php" -type f -print0 | xargs -0 grep '[a-zA-Z0-9]\{400\}' 

这会给你一个列表。在我的根文件夹中是一个include.class.php文件，其中有很多后门程序。一些更多的文件（带有加密名称）位于我的wp-includes /文件夹中。他们似乎负责后门文件的创建。删除后门文件和加密！

玩得开心:)

Answer 2

检查Wordpress Codex: Help I think I've been hacked。这是你会找到的最好的建议。