会感染主题functions.php文件的php恶意代码！

我这本地架设的 WordPress 里面曾经遇到过一段 php 代码，会感染 theme 目录下所有 WordPress 主题的 functions.php，这段代码我怀疑是从一些所谓的破解主题那里来的，但不知道它有什么破坏行为，但光会自动为所有主题的 functions.php 加上此代码就让人非常气愤！后来我手动删除所有感染的 functions.php 文件就没去理了。

最近，应该是3天前，我接到一个要我修改主题的朋友发来的主题，貌似又是破解的国外付费主题（这么多免费主题何必要用破解的主题呢？），随后又发现这个可恶的熟悉的恶意 php 代码。

我看了下 php 代码没看出什么，不知道有没有 php 高手看看这些是啥代码，破坏性是属于哪种？如果哪位朋友发现自己用的主题的 functions.php 后面也有这段代码就要小心了。

恶意代码很长一大段，部分截图如下：（完全代码点击这里查看）

不知道这些是不是木马之类的，没花时间分析细看，特写出来提醒一下。

zww

赏

oooo

本文标题：会感染主题functions.php文件的php恶意代码！
本文链接：https://zww.me/archives/25361
发布时间：2010年12月11日 10:18
版权声明：除非注明，文章均为 zwwooooo 原创，转载请以链接形式标明本文地址！

“会感染主题functions.php文件的php恶意代码！”有166条评论

SOHO生活 says:

2010/12/12 11:08

看来俺得小心点，不敢再随便试用破解主题饿了~

SOHO生活 says:

2010/12/12 11:09

好像有一款wordpress病毒扫描插件，我以前用过的，破解皮肤一扫描大多发出警告~

zwwooooo says:

2010/12/14 12:26

@SOHO生活
呵呵，不要用破解的主题就行了

Reply

fblue says:

2010/12/12 12:50

第一个sql的这句 post_author=\"li".$expl."vethe".$comm_type."mes".$expl."@".$comm_is_approved."gm".$postauthor_comment."ail".$expl.".".$expl."co"."m\
livethemes@gmail.com...google下有先关的信息。。。
查找livethemes@gmail.com.此人的留言，并显示在sidebar或 footer上。。可以算上恶意代码了

zwwooooo says:

2010/12/14 12:27

@fblue
呵呵，你还真分析了，强

Reply
fblue says:

2010/12/14 12:31

@zwwooooo
呵呵，web的恶意代码一般少不了sql，所以就看看，google上也找到了

Reply

it博客 says:

2010/12/12 15:12

这个真没注意过 ~

米糯 says:

2010/12/12 15:13

我也记得有个病毒插件，以前用过，后来就删掉了。。

heson says:

2010/12/12 16:07

谢谢提醒！！该注意一下咯

古墓候梅 says:

2010/12/12 18:35

不懂这些

看来换主题还得小心！

zwwooooo says:

2010/12/14 12:28

@古墓候梅
应该说换所谓的破解主题要注意了

Reply

derek says:

2010/12/13 00:14

这个倒还真是挺可恶的，代码藏得也太隐秘了，看不懂

zwwooooo says:

2010/12/14 12:29

@derek
嗯嗯，传染性很强

Reply

mice says:

2010/12/13 01:29

我现在的主题貌似还是2.几的时候老老老主题...
新主题神马样的函数我都还不知道 T_T...
z叔你用的是notepad吗?那个配色很喜欢啊.求ini..

zwwooooo says:

2010/12/14 12:30

@mice
Monikai配色啊，你的npp没有么？我忘了是自带的还是我安装的。

Reply

火星笔记 says:

2010/12/13 08:35

关于主题，我正想自己做一个的说……

zwwooooo says:

2010/12/14 12:31

@火星笔记
自己会做还是自己做一个吧

Reply

zigbee says:

2010/12/13 08:43

正的要注意这个问题。木马无处不在呀

zwwooooo says:

2010/12/14 12:31

@zigbee
对啊，无孔不入

Reply

园子 says:

2010/12/13 09:35

没研究过这些
呵呵。

zwwooooo says:

2010/12/14 12:31

@园子
我也没研究，只是碰到了

Reply

星尔 says:

2010/12/13 14:46

以后小心啦，最好还是自己写个主题！

zwwooooo says:

2010/12/14 12:31

@星尔
免费主题不会加这些的

Reply

wmtimes says:

2010/12/13 14:58

以后再研究。

Suyos says:

2010/12/13 15:06

破解你就要感染我？。。

zwwooooo says:

2010/12/14 12:32

@Suyos
所以不要去用破解啦

Reply

lazy says:

2010/12/13 20:55

没试过这个

countmeon says:

2010/12/14 09:13

果然是很邪恶的代码啊。要注意了

zwwooooo says:

2010/12/14 12:32

@countmeon
对啊，小心为上

Reply

zwwooooo says:

2010/12/14 12:13

@大智若鲁
就一个感染性就够“恶意”了

huangjun says:

2010/12/14 16:48

我猜这代码是为写主题的人的博客增加外链之类的作用

zwwooooo says:

2010/12/14 17:28

@huangjun
应该是

Reply

猴子 says:

2010/12/15 01:13

嘿嘿，都忘记博客界还有你这么个wp折腾帝了。
最近刚装了个wp，以后要找你请教点了

zwwooooo says:

2010/12/15 10:37

@猴子
低调做事...买链接的时候你才会记得...

Reply
猴子 says:

2010/12/15 15:53

哈哈 @zwwooooo

Reply

SOHO生活 says:

2010/12/12 11:08

看来俺得小心点，不敢再随便试用破解主题饿了~

SOHO生活 says:

2010/12/12 11:09

好像有一款wordpress病毒扫描插件，我以前用过的，破解皮肤一扫描大多发出警告~

1. zwwooooo says:
  
  2010/12/14 12:26
  
  @SOHO生活
  呵呵，不要用破解的主题就行了
  
fblue says:

2010/12/12 12:50

第一个sql的这句 post_author=\"li".$expl."vethe".$comm_type."mes".$expl."@".$comm_is_approved."gm".$postauthor_comment."ail".$expl.".".$expl."co"."m\
livethemes@gmail.com...google下有先关的信息。。。
查找livethemes@gmail.com.此人的留言，并显示在sidebar或 footer上。。可以算上恶意代码了

1. zwwooooo says:
  
  2010/12/14 12:27
  
  @fblue
  呵呵，你还真分析了，强
  
2. fblue says:
  
  2010/12/14 12:31
  
  @zwwooooo
  呵呵，web的恶意代码一般少不了sql，所以就看看，google上也找到了
  
it博客 says:

2010/12/12 15:12

这个真没注意过 ~

米糯 says:

2010/12/12 15:13

我也记得有个病毒插件，以前用过，后来就删掉了。。

heson says:

2010/12/12 16:07

谢谢提醒！！该注意一下咯

古墓候梅 says:

2010/12/12 18:35

不懂这些

看来换主题还得小心！

1. zwwooooo says:
  
  2010/12/14 12:28
  
  @古墓候梅
  应该说换所谓的破解主题要注意了
  
derek says:

2010/12/13 00:14

这个倒还真是挺可恶的，代码藏得也太隐秘了，看不懂

1. zwwooooo says:
  
  2010/12/14 12:29
  
  @derek
  嗯嗯，传染性很强
  
mice says:

2010/12/13 01:29

我现在的主题貌似还是2.几的时候老老老主题...
新主题神马样的函数我都还不知道 T_T...
z叔你用的是notepad吗?那个配色很喜欢啊.求ini..

1. zwwooooo says:
  
  2010/12/14 12:30
  
  @mice
  Monikai配色啊，你的npp没有么？我忘了是自带的还是我安装的。
  
火星笔记 says:

2010/12/13 08:35

关于主题，我正想自己做一个的说……

1. zwwooooo says:
  
  2010/12/14 12:31
  
  @火星笔记
  自己会做还是自己做一个吧
  
zigbee says:

2010/12/13 08:43

正的要注意这个问题。木马无处不在呀

1. zwwooooo says:
  
  2010/12/14 12:31
  
  @zigbee
  对啊，无孔不入
  
园子 says:

2010/12/13 09:35

没研究过这些
呵呵。

1. zwwooooo says:
  
  2010/12/14 12:31
  
  @园子
  我也没研究，只是碰到了
  
星尔 says:

2010/12/13 14:46

以后小心啦，最好还是自己写个主题！

1. zwwooooo says:
  
  2010/12/14 12:31
  
  @星尔
  免费主题不会加这些的
  
wmtimes says:

2010/12/13 14:58

以后再研究。

Suyos says:

2010/12/13 15:06

破解你就要感染我？。。

1. zwwooooo says:
  
  2010/12/14 12:32
  
  @Suyos
  所以不要去用破解啦
  
lazy says:

2010/12/13 20:55

没试过这个

countmeon says:

2010/12/14 09:13

果然是很邪恶的代码啊。要注意了

1. zwwooooo says:
  
  2010/12/14 12:32
  
  @countmeon
  对啊，小心为上
  
zwwooooo says:

2010/12/14 12:13

@大智若鲁
就一个感染性就够“恶意”了

huangjun says:

2010/12/14 16:48

我猜这代码是为写主题的人的博客增加外链之类的作用

1. zwwooooo says:
  
  2010/12/14 17:28
  
  @huangjun
  应该是
  
猴子 says:

2010/12/15 01:13

嘿嘿，都忘记博客界还有你这么个wp折腾帝了。
最近刚装了个wp，以后要找你请教点了

1. zwwooooo says:
  
  2010/12/15 10:37
  
  @猴子
  低调做事...买链接的时候你才会记得...
  
2. 猴子 says:
  
  2010/12/15 15:53
  
  哈哈 @zwwooooo

会感染主题functions.php文件的php恶意代码！

“会感染主题functions.php文件的php恶意代码！”有166条评论

发表评论 取消回复

发表评论取消回复