飞鱼博客

用过WordPress的朋友都知道，主题或者插件，可以在官方的下载平台是寻找。但也可以去一些非官方的地方下载。

如果你到一个非官方的地方去下载来使用，会有什么后果呢？我最近看到一篇文章，讲述的是博主安装了带木马的主题的不幸经历。从中让我了解到，我们在管理博客过程中一定要提高自己的防毒意识，谨慎加细心。

要避免去不良网站下载东西，其实不光光是主题和插件，我想即使是粘贴别人的文章也应该仔细检查文章中是否有恶意代码。

下面我们来看看这位不幸的博主到底发生了什么事情？

转载子猴博客《安装东西要谨慎，小心博客中毒》

最近10来天的时间，子猴博客每次打开页面的时候都会加载一个地址的js文件，如http://61.4.82.212/js.php，然后后台管理页面就非常混乱，很多功能用不了，几乎所有的浏览器在打开博客的时候都给予禁止的提示信息，给空间商去信，他们回复说这是因为网站感染了恶意软件（Malware），说没办法帮我，于是没有办法，我就去查网站的文件，后来在任一php文件中都查到了这样一段经过Base64编码后的病毒代码（原文件是没有这段代码的）：

<?php /**/ eval(base64_decode("

aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21yX25

vJ10pKXsgICAkR0xPQkFMU1snbXJfbm8nXT0xOyAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ21y

b2JoJykpeyAgICAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ2dtbCcpKXsgICAgIGZ1bmN0aW9uIGd

tbCgpeyAgICAgIGlmICghc3RyaXN0cigkX1NFUlZFUlsiSFRUUF9VU0VSkQzQTdCOUUyOEMzNjl

GN0I1OUM1MUI4MURFPWd6ZGVjb2RlKCRSRTgyRUU5QjEyMUY3MD……………………………

"));?>

我将其解开后发现是一段类似javascript的代码：

if(function_exists(‘ob_start’)&&!isset($GLOBALS['mr_no'])){   $GLOBALS['mr_no']=1;   if(!function_exists(‘mrobh’)){      if(!function_exists(‘gml’)){     function gml(){      if (!stristr($_SERVER["HTTP_USER_AGENT"],”googlebot”)&& (!stristr($_SERVER["HTTP_USER_AGENT"],”yahoo”))){
。。。。。。。。

而且在主题根目录下还发现了一个名erwin_troy.php的木马文件，erwin的英文意思是“诊断”，而troy的英文意思是“木马”，里面也是一段经过编码后的代码。

后来没办法，我只好将所有的系统文件，除了图片目录外的都删除掉，然后再重传一遍wordpress的安装程序，之后，网站才恢复正常。

那么这个木马是怎么中的呢？我现在也记不得了，依稀记得是下载了一个主题包，然后试着安装了一下，后来不知道什么时候就中毒了，当然也不确定是因为那个主题的原因，但至少给了我一个教训，那就是在安装主题或插件的时候一定要到官方网站下载，即使一个原本没有问题的东西，但你如果不是在官方网站下载的话，有可能一些居心叵测之徒在其中加一些木马之类的东西。

希望各位朋友们以后在这方面以后也注意一下啊。