WordPress的联系表格哈克

我想清理我的Wordpress网站上的一个小黑客。它位于http://www.mydermakare.com。我在index.php文件中找到了最初的垃圾邮件代码并将其删除，但我仍然在我的页面顶部收到一个函数会话启动错误。WordPress的联系表格哈克

任何想法，我可以找到问题代码？

2012-01-31 Rob Myrick

你可以更具体一点，究竟发生了什么？你是说你的网站被黑客侵入，PHP网页被修改为包含代码，还是你说你在博客上遇到了垃圾邮件问题？ – Skolor 2012-01-31 16:39:17

我在评论框中有垃圾邮件，但我认为问题来自通过联系表单上传的代码。我只是假设这是因为它发生在我过去的另一个网站上。 – 2012-01-31 16:41:18

这听起来像一个相当大的问题，如果有人能够通过任何形式的公开访问的形式上传代码。 – Skolor 2012-01-31 16:42:33

第10行之前的行导致标题在第10行可以添加/更改之前发送。向我们展示第1-10行可能会有所帮助。

编辑：是的，我想你已经被入侵或东西 http://sucuri.net/malware/malware-entry-mwjs160 在这一点上我要去工序的侧视图，有点太复杂了我，我不想告诉你错误的事情。

2012-01-31 16:40:38

嗨，马克，我有一个index.php的备份文件，我将其替换 - 它不工作。你是说在index.php中的第1-10行会是问题，或者它会在别处，因为我已经用我的备份替换了index.php – 2012-01-31 16:42:49

如果第1-10行有“include”，那么它可能在文件被包括在内。 – 2012-01-31 16:45:27

马克，我只是点击查看源和一个奇怪的脚本显示在顶部。我在想，def看起来很可疑。 – 2012-01-31 16:50:47

您是否在index.php中关闭了您的php标记。有没有额外的空间。这里显示的错误是由于快速联系人插件中的quick-contact.php中调用了session_start（）。但是PHP已经输出了一些东西。在任何主文件

的PHP标签之前或之后删除任何空白

编辑：

我想，这是不是index.php的问题。我想你已经在标签后面的php文件中添加了一些空间。你可以检查那些

2012-01-31 16:54:32 Sabari

Sabari，你想看看它吗？如果可能的话，我会非常感谢你的帮助。我可以给你登录凭据 – 2012-01-31 17:22:03

是的sure.Do你有ssh的细节..如果是的话，请发送给我[email protected] – Sabari 2012-01-31 17:24:05

发送，谢谢！ – 2012-01-31 17:26:37

从这里的评论来看，你最好的选择是可能从备份恢复整个网站。您仍然会遇到这样的问题，即该漏洞仍然存在，并且仍有可能被第一次“黑客入侵”该网站的人所利用。查找所使用的特定漏洞远远超出了在这样的论坛上可以完成的工作，但您可以先查看所有插件并确保它们是最新的。

2012-01-31 17:51:44 Skolor

http://ismyblogworking.com/mydermakare.com显示robots.txt文件中的hack代码以及RSS提要的结果。你仍然被黑客入侵。

替换除主题以外的所有核心WP文件和文件夹。这就是PHP错误的来源。

做一个彻底清理黑客的工作，否则会再次发生。请参阅FAQ: My site was hacked « WordPress Codex和How to completely clean your hacked wordpress installation和How to find a backdoor in a hacked WordPress和Hardening WordPress « WordPress Codex并告诉您的主人。更改所有密码并扫描您自己的电脑。甚至可能找到一个更好，更安全的主机。

2012-01-31 20:09:21 markratledge

回答