2022/01/21 13:50

最近发现有一个网站访问变慢了，打开后台看了一下文件，发现主题theme文件夹下header.php、function.php被篡改植入了恶意代码。

其中header.php被篡改植入了下方代码：

<link rel=’dns-prefetch’ href=’//cdn.staticfile.org’ />
<link rel=’dns-prefetch’ href=’//s.w.org’ />
<script type=”text/javascript”>
window._wpemojiSettings = {“baseUrl”:”https:\/\/s.w.org\/images\/core\/emoji\/13.1.0\/72×72\/”,”ext”:”.png”,”svgUrl”:”https:\/\/s.w.org\/images\/core\/emoji\/13.1.0\/svg\/”,”svgExt”:”.svg”,”source”:{“concatemoji”:”https:\/\/www.baladong.com\/wp-includes\/js\/wp-emoji-release.min.js?ver=5.8.3″}};
!function(e,a,t){var n,r,o,i=a.createElement(“canvas”),p=i.getContext&&i.getContext(“2d”);function s(e,t){var a=String.fromCharCode;p.clearRect(0,0,i.width,i.height),p.fillText(a.apply(this,e),0,0);e=i.toDataURL();return p.clearRect(0,0,i.width,i.height),p.fillText(a.apply(this,t),0,0),e===i.toDataURL()}function c(e){var t=a.createElement(“script”);t.src=e,t.defer=t.type=”text/javascript”,a.getElementsByTagName(“head”)[0].appendChild(t)}for(o=Array(“flag”,”emoji”),t.supports={everything:!0,everythingExceptFlag:!0},r=0;r<o.length;r++)t.supports[o[r]]=function(e){if(!p||!p.fillText)return!1;switch(p.textBaseline=”top”,p.font=”600 32px Arial”,e){case”flag”:return s([127987,65039,8205,9895,65039],[127987,65039,8203,9895,65039])?!1:!s([55356,56826,55356,56819],[55356,56826,8203,55356,56819])&&!s([55356,57332,56128,56423,56128,56418,56128,56421,56128,56430,56128,56423,56128,56447],[55356,57332,8203,56128,56423,8203,56128,56418,8203,56128,56421,8203,56128,56430,8203,56128,56423,8203,56128,56447]);case”emoji”:return!s([10084,65039,8205,55357,56613],[10084,65039,8203,55357,56613])}return!1}(o[r]),t.supports.everything=t.supports.everything&&t.supports[o[r]],”flag”!==o[r]&&(t.supports.everythingExceptFlag=t.supports.everythingExceptFlag&&t.supports[o[r]]);t.supports.everythingExceptFlag=t.supports.everythingExceptFlag&&!t.supports.flag,t.DOMReady=!1,t.readyCallback=function(){t.DOMReady=!0},t.supports.everything||(n=function(){t.readyCallback()},a.addEventListener?(a.addEventListener(“DOMContentLoaded”,n,!1),e.addEventListener(“load”,n,!1)):(e.attachEvent(“onload”,n),a.attachEvent(“onreadystatechange”,function(){“complete”===a.readyState&&t.readyCallback()})),(n=t.source||{}).concatemoji?c(n.concatemoji):n.wpemoji&&n.twemoji&&(c(n.twemoji),c(n.wpemoji)))}(window,document,window._wpemojiSettings);
</script>
<style type=”text/css”>
img.wp-smiley,
img.emoji {
display: inline !important;
border: none !important;
box-shadow: none !important;
height: 1em !important;
width: 1em !important;
margin: 0 .07em !important;
vertical-align: -0.1em !important;
background: none !important;
padding: 0 !important;
}

function.php也被篡改植入了恶意代码，这里就不把代码贴出来了。

我实在想不通，有些人手里明明有技术，但却总是把技术用来干一些不正当的事情。

这几年我的网站也遭遇过几次黑客的攻击和恶意植入，开始还挺烦的，后来感觉没什么。那些用自己宝贵的人生和时间作恶的人才是可悲的！

这10多年我收藏过很多网址，那些从事不正当行业的网站，基本上过不了一两年就打不开了，其原因可想而知，要么被政府封禁了，要么被很多同行抵制，干不下去了。

说实话，做生意多多少少都会打一些擦边球，但是在大是大非上是绝对不能出问题的。即便是像滴滴打车那种大公司，触犯了国家安全的底线也一样会受到处罚。

我个人对商业的理解是商业是做有利于别人的事情，而不是损害别人的事情。无论你是损害了用户还是损害了同行，最后的结果都不会好。