我的網站遭到黑客入侵：我現在該做什麼？

Question

我的WordPress的網站已被黑客入侵。通過這個計劃：

http://sitecheck.sucuri.net/（...）

我發現，它涉及2個文件（現在），它是。 js文件。

.... dk/wp-includes/js/l10n.js？ ver = 20101110 .... dk/wp-includes/js/jquery/jquery.js？ ver = 1.6.1

這是某種木馬（Cruzer B）。的（由攻擊者）輸入的編碼是在這兩個文件（已經經由記事本看到它）

的文件中的一個的原始代碼看起來是這樣的相當明顯：

功能convertEntities（B）{風險d， a，d = function（c）{if（/ & [^;] +; /。test（c））{var f = document.createElement（「div」）; F。 innerHTML = c;返回！ f.firstChild？ c：f.firstChild.nodeValue} return c}; if（typeof b ===「string」）{return d（b）} else {if（typeof b ===「object」）{for（a in b）{if（typeof b [a] ===「字符串「）{b [a] = d（b [a]）}}}} return b};是

我可以在兩者中手動刪除被黑客入侵的代碼，並期望該網站可以再次運行，否則我甚至會銷燬更多的東西？

Answer 1

下載Wordpress的新副本（確保獲得相同版本），解壓縮並查看文件是否存在。

如果是，請將安裝中的文件替換爲原件。

如果他們不是，你應該能夠刪除它們。

Answer 2

我最近清理與同一個網站來利用這是由一個不安全的腳本造成timthumb.php

首先確保你與updated version替換timthumb。如果您已經替換了所有需要的WordPress文件，請確保您的主題文件都是乾淨的（即使是非激活的主題）。

我還發現隱藏在服務器/ tmp目錄和wp-config.php中的shell腳本，這些腳本可能沒有被替換。在wp-config.php中，惡意代碼在3000空行之後被隱藏，所以確保你真的在你正在檢查的任何文件的末尾。