会感染主题functions.php文件的php恶意代码！

我这本地架设的 WordPress 里面曾经遇到过一段 php 代码，会感染 theme 目录下所有 WordPress 主题的 functions.php，这段代码我怀疑是从一些所谓的破解主题那里来的，但不知道它有什么破坏行为，但光会自动为所有主题的 functions.php 加上此代码就让人非常气愤！后来我手动删除所有感染的 functions.php 文件就没去理了。

最近，应该是3天前，我接到一个要我修改主题的朋友发来的主题，貌似又是破解的国外付费主题（这么多免费主题何必要用破解的主题呢？），随后又发现这个可恶的熟悉的恶意 php 代码。

我看了下 php 代码没看出什么，不知道有没有 php 高手看看这些是啥代码，破坏性是属于哪种？如果哪位朋友发现自己用的主题的 functions.php 后面也有这段代码就要小心了。

恶意代码很长一大段，部分截图如下：（完全代码点击这里查看）

不知道这些是不是木马之类的，没花时间分析细看，特写出来提醒一下。

zww

赏

oooo

本文标题：会感染主题functions.php文件的php恶意代码！
本文链接：https://zww.me/archives/25361
发布时间：2010年12月11日 10:18
版权声明：除非注明，文章均为 zwwooooo 原创，转载请以链接形式标明本文地址！

“会感染主题functions.php文件的php恶意代码！”有166条评论

小邪 says:

2010/12/15 06:46

很有趣的代码，嘻嘻，明天放学也试着分析分析。

zwwooooo says:

2010/12/15 10:42

@小邪
应该是感染然后插入链接什么的

Reply

苏扬 says:

2010/12/15 12:57

慢慢的看了一下觉得不是什么恶意代码应该，貌似是文章输出，当然我只是个小菜鸟，所以观点很可能就是错的！

zwwooooo says:

2010/12/15 23:00

@苏扬
起码会感染这一点就够邪恶的了

Reply

Kars says:

2010/12/16 22:16

╮(￣▽￣")╭ 主题的话，还是去官方下载、、好歹是经过审核的、、

zwwooooo says:

2010/12/17 21:23

@Kars
免费的当然啦，国人喜欢破解嘛。。。

Reply

小杰博客 says:

2010/12/19 08:34

没有研究，技术不行，希望可以解决

zwwooooo says:

2010/12/20 23:26

@小杰博客
注意别感染就行了

Reply

无冷 says:

2010/12/31 22:37

不懂php啊，这些看着还不懂

zwwooooo says:

2010/12/31 22:52

@无冷
不懂就直接用。元旦快乐！

Reply
松鼠男 says:

2011/11/29 10:50

@无冷你居然说看不懂php？？真的好假的说哦，。

Reply
zwwooooo says:

2011/11/29 15:10

@松鼠男
很正常，当时不懂不代表后来不懂，况且不懂php照样是可以玩转主题的，只要你有基础。

Reply
松鼠男 says:

2011/11/29 17:37

@zwwooooo
猛然发现，是去年的回复- -

Reply
SEV says:

2013/05/02 22:30

@松鼠男

松鼠男:
猛然发现，是去年的回复- -

发现是前年回复的？

Reply

Demon says:

2011/01/09 19:11

O。滴神呀。眼熟哦

好像在最近改的一个主题有看到有这么一段。回头去看一下。我说为神马在本地调试通过。上传就无法用呢。

Demon says:

2011/01/09 19:24

刚又从在修改的主题作者官方下载后发现文件内现在没了这一大段的代码。把这个文件再覆盖原来的后上传可以使用了。

zwwooooo says:

2011/01/10 14:44

@Demon
尽量从官方下载主题，其他地方下载也要注意其网站，对于破解的还是不要去用了。

Reply
Demon says:

2011/01/10 16:31

@zwwooooo
可是我原先就是从官方下载的呀。改了后不能用呢。前天再去重新下一个发现里面这段代码没了。之后主题修改就可以用了。

Reply
zwwooooo says:

2011/01/10 17:33

@Demon
这个是会感染的

Reply
夜光 says:

2011/07/07 21:30

@Demon
我了个去，今天帮一朋友也遇到了，还好有备份！

Reply
zwwooooo says:

2011/07/10 17:10

@夜光
这个很厉害的

Reply

囧啊囧 says:

2011/01/31 02:07

我现在有个主题根本没有这个文件，我想实现评论邮件回复的效果都不行，你方便的时候能不能帮我写一个啊？主题效果参见meinv.vv15.com

zwwooooo says:

2011/01/31 23:38

@囧啊囧
自己加上去呗。

Reply
囧啊囧 says:

2011/01/31 23:52

@zwwooooo
要是我会加昨晚就加好了，

Reply
zwwooooo says:

2011/02/03 00:28

@囧啊囧
手里有活。
新年快乐！

Reply
囧啊囧 says:

2011/02/03 00:33

@zwwooooo
新年快乐，没关系的。

Reply
zwwooooo says:

2011/02/03 00:59

@囧啊囧
过完年再慢慢折腾

Reply

nopoto says:

2011/02/19 17:25

完全不懂

zwwooooo says:

2011/02/21 21:22

@nopoto
别染上就行了

Reply

手扑网 says:

2011/06/16 01:55

我的网站加载很慢可以帮我看下嘛？谢谢了

zwwooooo says:

2011/06/16 17:24

@手扑网
换空间吧

Reply

遭遇代码中毒 – 野鹤闲言 - 闲云野鹤夫妻博客 says:

2011/12/17 13:25

[...] 天有不测风云，我竟然也遭遇了代码中毒！查了查，原来zww大叔以前写过这么一篇文章，只怪自己没有认真看，今天中招只能认栽了！不过万幸的只是本地搭建的wordpress中毒了！ [...]

hzlzh says:

2011/12/19 19:21

着权限拿的不错啊，嘿嘿，太恶意了。。

zwwooooo says:

2011/12/20 19:32

@hzlzh
对啊，虽然看不太懂，但“恶意”很明显

Reply

yesureadmin says:

2011/12/22 09:32

今天我也中了,害我所有的主题里都有这样的代码,中了后连主题都不能切换

zwwooooo says:

2011/12/22 23:54

@yesureadmin
要小心啊，国内有些主题站提供的主题有问题

Reply

Danny says:

2011/12/23 18:59

我的本地站点都有了，就连网上的也有了。。看到后面写到“木马”两字，我怕了。。

zwwooooo says:

2011/12/23 20:47

@Danny
其实只要经常下载国内wp主题下载站提供的所谓破解主题，那么就很容易染上了

Reply

一段WordPress主题恶意代码分析（貌似很多人中招了） says:

2012/01/02 21:49

[...] 蓝冰说他也中了这个“恶意代码”，同时中招的还有z叔啦~~~ 我没有，哈哈 [...]

citier says:

2012/01/08 12:58

貌似我自己做的主题也感染了这个

zwwooooo says:

2012/01/10 14:09

@citier
那就是其它主题感染过来的

Reply

警惕wordpress破解主题恶意代码 | I-Mee says:

2012/01/27 15:34

[...] 从Z叔那里看到的消息,看来Z叔在本地测试的时候也是中招了,后来又在荒野那里看到了它的很到位的代码分析,那么恶意代码从何而来？自然是出自蛋疼人士XX之手,追其溯源,原是国内各大wordpress志士下载所谓的破解版主题导致,这段代码的隐蔽性在于:不熟悉php代码的人很容易将其理解为功能强大的XX代码,不管怎么说,我们且来看下这段代码，代码比较长,可以用来走查分析学习。。 [...]

老衲 says:

2012/03/10 16:56

我的站现在查看源代码后就有好多，但是根据你的那篇文章检查后也没在functions找到什么异常代码

zwwooooo says:

2012/03/10 23:04

@老衲
这类有人分析过了，很蛋疼的代码，会感染但没有大作恶。

Reply

emric says:

2012/06/07 06:15

= 口 = 昨晚帮人修改主题也中了类似的但这个更加隐蔽/
在正常代码后面///

zwwooooo says:

2012/06/09 23:35

@emric
要小心啊

Reply

Liununu's blog » 又被插了 says:

2012/10/05 00:24

[...] 又被插了 5 十月, 2012 记得是原来的时候就已经遇到了，后来zwwooooo也有发现functions.php被插入了恶意代码。 [...]

小邪 says:

2010/12/15 06:46

很有趣的代码，嘻嘻，明天放学也试着分析分析。

1. zwwooooo says:
  
  2010/12/15 10:42
  
  @小邪
  应该是感染然后插入链接什么的
  
苏扬 says:

2010/12/15 12:57

慢慢的看了一下觉得不是什么恶意代码应该，貌似是文章输出，当然我只是个小菜鸟，所以观点很可能就是错的！

1. zwwooooo says:
  
  2010/12/15 23:00
  
  @苏扬
  起码会感染这一点就够邪恶的了
  
Kars says:

2010/12/16 22:16

╮(￣▽￣")╭ 主题的话，还是去官方下载、、好歹是经过审核的、、

1. zwwooooo says:
  
  2010/12/17 21:23
  
  @Kars
  免费的当然啦，国人喜欢破解嘛。。。
  
小杰博客 says:

2010/12/19 08:34

没有研究，技术不行，希望可以解决

1. zwwooooo says:
  
  2010/12/20 23:26
  
  @小杰博客
  注意别感染就行了
  
无冷 says:

2010/12/31 22:37

不懂php啊，这些看着还不懂

1. zwwooooo says:
  
  2010/12/31 22:52
  
  @无冷
  不懂就直接用。元旦快乐！
  
2. 松鼠男 says:
  
  2011/11/29 10:50
  
  @无冷你居然说看不懂php？？真的好假的说哦，。
  
3. zwwooooo says:
  
  2011/11/29 15:10
  
  @松鼠男
  很正常，当时不懂不代表后来不懂，况且不懂php照样是可以玩转主题的，只要你有基础。
  
4. 松鼠男 says:
  
  2011/11/29 17:37
  
  @zwwooooo
  猛然发现，是去年的回复- -
  
5. SEV says:
  
  2013/05/02 22:30
  
  @松鼠男
  
  松鼠男:
  猛然发现，是去年的回复- -
  
  发现是前年回复的？
  
Demon says:

2011/01/09 19:11

O。滴神呀。眼熟哦

好像在最近改的一个主题有看到有这么一段。回头去看一下。我说为神马在本地调试通过。上传就无法用呢。

Demon says:

2011/01/09 19:24

刚又从在修改的主题作者官方下载后发现文件内现在没了这一大段的代码。把这个文件再覆盖原来的后上传可以使用了。

1. zwwooooo says:
  
  2011/01/10 14:44
  
  @Demon
  尽量从官方下载主题，其他地方下载也要注意其网站，对于破解的还是不要去用了。
  
2. Demon says:
  
  2011/01/10 16:31
  
  @zwwooooo
  可是我原先就是从官方下载的呀。改了后不能用呢。前天再去重新下一个发现里面这段代码没了。之后主题修改就可以用了。
  
3. zwwooooo says:
  
  2011/01/10 17:33
  
  @Demon
  这个是会感染的
  
4. 夜光 says:
  
  2011/07/07 21:30
  
  @Demon
  我了个去，今天帮一朋友也遇到了，还好有备份！
  
5. zwwooooo says:
  
  2011/07/10 17:10
  
  @夜光
  这个很厉害的
  
囧啊囧 says:

2011/01/31 02:07

我现在有个主题根本没有这个文件，我想实现评论邮件回复的效果都不行，你方便的时候能不能帮我写一个啊？主题效果参见meinv.vv15.com

1. zwwooooo says:
  
  2011/01/31 23:38
  
  @囧啊囧
  自己加上去呗。
  
2. 囧啊囧 says:
  
  2011/01/31 23:52
  
  @zwwooooo
  要是我会加昨晚就加好了，
  
3. zwwooooo says:
  
  2011/02/03 00:28
  
  @囧啊囧
  手里有活。
  新年快乐！
  
4. 囧啊囧 says:
  
  2011/02/03 00:33
  
  @zwwooooo
  新年快乐，没关系的。
  
5. zwwooooo says:
  
  2011/02/03 00:59
  
  @囧啊囧
  过完年再慢慢折腾
  
nopoto says:

2011/02/19 17:25

完全不懂

1. zwwooooo says:
  
  2011/02/21 21:22
  
  @nopoto
  别染上就行了
  
手扑网 says:

2011/06/16 01:55

我的网站加载很慢可以帮我看下嘛？谢谢了

1. zwwooooo says:
  
  2011/06/16 17:24
  
  @手扑网
  换空间吧
  
遭遇代码中毒 – 野鹤闲言 - 闲云野鹤夫妻博客 says:

2011/12/17 13:25

[...] 天有不测风云，我竟然也遭遇了代码中毒！查了查，原来zww大叔以前写过这么一篇文章，只怪自己没有认真看，今天中招只能认栽了！不过万幸的只是本地搭建的wordpress中毒了！ [...]

hzlzh says:

2011/12/19 19:21

着权限拿的不错啊，嘿嘿，太恶意了。。

1. zwwooooo says:
  
  2011/12/20 19:32
  
  @hzlzh
  对啊，虽然看不太懂，但“恶意”很明显
  
yesureadmin says:

2011/12/22 09:32

今天我也中了,害我所有的主题里都有这样的代码,中了后连主题都不能切换

1. zwwooooo says:
  
  2011/12/22 23:54
  
  @yesureadmin
  要小心啊，国内有些主题站提供的主题有问题
  
Danny says:

2011/12/23 18:59

我的本地站点都有了，就连网上的也有了。。看到后面写到“木马”两字，我怕了。。

1. zwwooooo says:
  
  2011/12/23 20:47
  
  @Danny
  其实只要经常下载国内wp主题下载站提供的所谓破解主题，那么就很容易染上了
  
一段WordPress主题恶意代码分析（貌似很多人中招了） says:

2012/01/02 21:49

[...] 蓝冰说他也中了这个“恶意代码”，同时中招的还有z叔啦~~~ 我没有，哈哈 [...]

citier says:

2012/01/08 12:58

貌似我自己做的主题也感染了这个

1. zwwooooo says:
  
  2012/01/10 14:09
  
  @citier
  那就是其它主题感染过来的
  
警惕wordpress破解主题恶意代码 | I-Mee says:

2012/01/27 15:34

[...] 从Z叔那里看到的消息,看来Z叔在本地测试的时候也是中招了,后来又在荒野那里看到了它的很到位的代码分析,那么恶意代码从何而来？自然是出自蛋疼人士XX之手,追其溯源,原是国内各大wordpress志士下载所谓的破解版主题导致,这段代码的隐蔽性在于:不熟悉php代码的人很容易将其理解为功能强大的XX代码,不管怎么说,我们且来看下这段代码，代码比较长,可以用来走查分析学习。。 [...]

老衲 says:

2012/03/10 16:56

我的站现在查看源代码后就有好多，但是根据你的那篇文章检查后也没在functions找到什么异常代码

1. zwwooooo says:
  
  2012/03/10 23:04
  
  @老衲
  这类有人分析过了，很蛋疼的代码，会感染但没有大作恶。
  
emric says:

2012/06/07 06:15

= 口 = 昨晚帮人修改主题也中了类似的但这个更加隐蔽/
在正常代码后面///

1. zwwooooo says:
  
  2012/06/09 23:35
  
  @emric
  要小心啊
  
Liununu's blog » 又被插了 says:

2012/10/05 00:24

[...] 又被插了 5 十月, 2012 记得是原来的时候就已经遇到了，后来zwwooooo也有发现functions.php被插入了恶意代码。 [...]

会感染主题functions.php文件的php恶意代码！

“会感染主题functions.php文件的php恶意代码！”有166条评论

发表评论 取消回复

发表评论取消回复