会感染主题functions.php文件的php恶意代码！

我这本地架设的 WordPress 里面曾经遇到过一段 php 代码，会感染 theme 目录下所有 WordPress 主题的 functions.php，这段代码我怀疑是从一些所谓的破解主题那里来的，但不知道它有什么破坏行为，但光会自动为所有主题的 functions.php 加上此代码就让人非常气愤！后来我手动删除所有感染的 functions.php 文件就没去理了。

最近，应该是3天前，我接到一个要我修改主题的朋友发来的主题，貌似又是破解的国外付费主题（这么多免费主题何必要用破解的主题呢？），随后又发现这个可恶的熟悉的恶意 php 代码。

我看了下 php 代码没看出什么，不知道有没有 php 高手看看这些是啥代码，破坏性是属于哪种？如果哪位朋友发现自己用的主题的 functions.php 后面也有这段代码就要小心了。

恶意代码很长一大段，部分截图如下：（完全代码点击这里查看）

不知道这些是不是木马之类的，没花时间分析细看，特写出来提醒一下。

zww

赏

oooo

本文标题：会感染主题functions.php文件的php恶意代码！
本文链接：https://zww.me/archives/25361
发布时间：2010年12月11日 10:18
版权声明：除非注明，文章均为 zwwooooo 原创，转载请以链接形式标明本文地址！

“会感染主题functions.php文件的php恶意代码！”有166条评论

小闇 says:

2010/12/11 10:20

zrqx008 says:

2010/12/11 10:26

破解其实是因为喜欢

zwwooooo says:

2010/12/14 12:07

@zrqx008
这是借口，哈

Reply

小闇 says:

2010/12/11 10:27

沒用過破解主題~
cracker如果是在代碼中埋藏了病毒的話，這文將會很有警惕性啊。破解主題什麼的還是少用點好，免費主題一點也不失色

zwwooooo says:

2010/12/14 12:07

@小闇
嗯嗯，那么多优秀的免费主题

Reply

离鸣 says:

2010/12/11 10:36

哈哈，这个很牛啊，要是我估计中了代码也不知道，以前最喜欢干的事就是下载一大堆主题，然后放phpnow里查看效果。不过最近系统刚重装过所以也无所谓了。

zwwooooo says:

2010/12/14 12:08

@离鸣
哈，如果不注意的确不知道感染了，不过这代码有时会造成主题错误

Reply

小王子 says:

2010/12/11 10:40

用你的主题就很好，哈哈哈。

zwwooooo says:

2010/12/14 12:09

@小王子
我的主题太简单了，喜欢的人不是很多

Reply

Weitian Zhao says:

2010/12/11 10:43

我是来围观文章下面新上一篇下一篇文章和Tags样式的...

zwwooooo says:

2010/12/14 12:10

@Weitian Zhao
哈，我刚改了下

Reply

惜墨|个人提升 says:

2010/12/11 10:44

以后得经常备份拉

zwwooooo says:

2010/12/14 12:10

@惜墨|个人提升
经常备份是必须的

Reply

MOPVHS says:

2010/12/11 10:57

真是的...居然连其他主题的文件也会去改！

以后我们是不是要定期检查文件是否被修改呢~~~

zwwooooo says:

2010/12/14 12:10

@MOPVHS
测试一些所谓的破解主题就要注意了

Reply

不羡鱼 says:

2010/12/11 11:14

单从函数名称来看，是判断小工具是否可用的。细看一看，有无其他名堂。

zwwooooo says:

2010/12/14 12:11

@不羡鱼
反正这感染性就有病毒/恶意嫌疑了

Reply

smilebull says:

2010/12/11 11:15

( ⊙o⊙ )哇，我说我的一个主题过一段时间再启用的时候总是会给首页添加一个固定广告，原来如此啊

zwwooooo says:

2010/12/14 12:11

@smilebull
嘿嘿，你中招了，不过不是恶意，只是广告

Reply

akasuna says:

2010/12/11 11:22

这么多免费主题何必要用破解的主题呢？

估计是因为用免费主题容易跟别人的站主题雷同。既要个性，又不想花钱，就用破解收费主题，一定程度上减小了雷同几率

zwwooooo says:

2010/12/14 12:12

@akasuna
这就是国人的想法了，喜欢免费。

Reply

wmtimes says:

2010/12/11 11:24

对代码还真不熟悉。还是换人吧。

chnmcy says:

2010/12/11 11:33

楼盖的可真快
俺的一个站昨天就让个白痴给黑了

Xiaofeng says:

2010/12/12 20:55

@chnmcy
我也要查查看。怎么被黑的？那项措施没做好？

Reply
zwwooooo says:

2010/12/14 12:13

@chnmcy
注意备份吧

Reply

瓜瓜 says:

2010/12/11 12:30

我得去检查一下俺的主题了..

zwwooooo says:

2010/12/14 12:14

@瓜瓜
如果你大量测试主题就要看看了

Reply

囧啊囧 says:

2010/12/11 12:41

我的应该没问题，国内免费主题。

zwwooooo says:

2010/12/14 12:14

@囧啊囧
免费主题作者不会加这些，最多是加密（防止代码盗用——这鸡搏）

Reply

Tweets that mention 会感染主题functions.php文件的php恶意代码！ | ZWWoOoOo -- Topsy.com says:

2010/12/11 13:10

[...] This post was mentioned on Twitter by Max Lee, zwwooooo. zwwooooo said: 『ZWWoOoOo新文章』会感染主题functions.php文件的php恶意代码！ http://goo.gl/fb/5d2vm [...]

飞晏 says:

2010/12/11 13:16

获取当前主题文件夹后遍历了所有文件夹查找function.php，然后加入钩子。是这样的吗？
他们加上这个为了什么？

zwwooooo says:

2010/12/14 12:15

@飞晏
不知道，懒得去分析，反正会感染就够黑的了

Reply

软件盒子 says:

2010/12/11 13:23

安全啊安全

skidu says:

2010/12/11 13:30

么用过破解的，不知道是个什么概念- -

未扬清 says:

2010/12/11 13:53

等待高手继续

小闇 says:

2010/12/11 10:20

SF

zrqx008 says:

2010/12/11 10:26

破解其实是因为喜欢

1. zwwooooo says:
  
  2010/12/14 12:07
  
  @zrqx008
  这是借口，哈
  
小闇 says:

2010/12/11 10:27

沒用過破解主題~
cracker如果是在代碼中埋藏了病毒的話，這文將會很有警惕性啊。破解主題什麼的還是少用點好，免費主題一點也不失色

1. zwwooooo says:
  
  2010/12/14 12:07
  
  @小闇
  嗯嗯，那么多优秀的免费主题
  
离鸣 says:

2010/12/11 10:36

哈哈，这个很牛啊，要是我估计中了代码也不知道，以前最喜欢干的事就是下载一大堆主题，然后放phpnow里查看效果。不过最近系统刚重装过所以也无所谓了。

1. zwwooooo says:
  
  2010/12/14 12:08
  
  @离鸣
  哈，如果不注意的确不知道感染了，不过这代码有时会造成主题错误
  
小王子 says:

2010/12/11 10:40

用你的主题就很好，哈哈哈。

1. zwwooooo says:
  
  2010/12/14 12:09
  
  @小王子
  我的主题太简单了，喜欢的人不是很多
  
Weitian Zhao says:

2010/12/11 10:43

我是来围观文章下面新上一篇下一篇文章和Tags样式的...

1. zwwooooo says:
  
  2010/12/14 12:10
  
  @Weitian Zhao
  哈，我刚改了下
  
惜墨|个人提升 says:

2010/12/11 10:44

以后得经常备份拉

1. zwwooooo says:
  
  2010/12/14 12:10
  
  @惜墨|个人提升
  经常备份是必须的
  
MOPVHS says:

2010/12/11 10:57

真是的...居然连其他主题的文件也会去改！

以后我们是不是要定期检查文件是否被修改呢~~~

1. zwwooooo says:
  
  2010/12/14 12:10
  
  @MOPVHS
  测试一些所谓的破解主题就要注意了
  
不羡鱼 says:

2010/12/11 11:14

单从函数名称来看，是判断小工具是否可用的。细看一看，有无其他名堂。

1. zwwooooo says:
  
  2010/12/14 12:11
  
  @不羡鱼
  反正这感染性就有病毒/恶意嫌疑了
  
smilebull says:

2010/12/11 11:15

( ⊙o⊙ )哇，我说我的一个主题过一段时间再启用的时候总是会给首页添加一个固定广告，原来如此啊

1. zwwooooo says:
  
  2010/12/14 12:11
  
  @smilebull
  嘿嘿，你中招了，不过不是恶意，只是广告
  
akasuna says:

2010/12/11 11:22

这么多免费主题何必要用破解的主题呢？

估计是因为用免费主题容易跟别人的站主题雷同。既要个性，又不想花钱，就用破解收费主题，一定程度上减小了雷同几率

1. zwwooooo says:
  
  2010/12/14 12:12
  
  @akasuna
  这就是国人的想法了，喜欢免费。
  
wmtimes says:

2010/12/11 11:24

对代码还真不熟悉。还是换人吧。

chnmcy says:

2010/12/11 11:33

楼盖的可真快
俺的一个站昨天就让个白痴给黑了

1. Xiaofeng says:
  
  2010/12/12 20:55
  
  @chnmcy
  我也要查查看。怎么被黑的？那项措施没做好？
  
2. zwwooooo says:
  
  2010/12/14 12:13
  
  @chnmcy
  注意备份吧
  
瓜瓜 says:

2010/12/11 12:30

我得去检查一下俺的主题了..

1. zwwooooo says:
  
  2010/12/14 12:14
  
  @瓜瓜
  如果你大量测试主题就要看看了
  
囧啊囧 says:

2010/12/11 12:41

我的应该没问题，国内免费主题。

1. zwwooooo says:
  
  2010/12/14 12:14
  
  @囧啊囧
  免费主题作者不会加这些，最多是加密（防止代码盗用——这鸡搏）
  
Tweets that mention 会感染主题functions.php文件的php恶意代码！ | ZWWoOoOo -- Topsy.com says:

2010/12/11 13:10

[...] This post was mentioned on Twitter by Max Lee, zwwooooo. zwwooooo said: 『ZWWoOoOo新文章』会感染主题functions.php文件的php恶意代码！ http://goo.gl/fb/5d2vm [...]

飞晏 says:

2010/12/11 13:16

获取当前主题文件夹后遍历了所有文件夹查找function.php，然后加入钩子。是这样的吗？
他们加上这个为了什么？

1. zwwooooo says:
  
  2010/12/14 12:15
  
  @飞晏
  不知道，懒得去分析，反正会感染就够黑的了
  
软件盒子 says:

2010/12/11 13:23

安全啊安全

skidu says:

2010/12/11 13:30

么用过破解的，不知道是个什么概念- -

未扬清 says:

2010/12/11 13:53

等待高手继续

会感染主题functions.php文件的php恶意代码！

“会感染主题functions.php文件的php恶意代码！”有166条评论

发表评论 取消回复

发表评论取消回复