处理WP的Malware JavaScript 的deloplen.com/apu.php?错误

在https://sitecheck.sucuri.net上面查询站点安全，结果报了一个Javascript的严重漏洞，src=”//deloplen.com/apu.php?。

文章源自原紫番博客-https://www.yuanzifan.com/53772.html

提示是说我的主机上有一些具有安全风险的代码，调取外站的资源和数据。给的Malware Found的信息提示，是 “Known javascript malware”。就是说已知的js恶意软件。文章源自原紫番博客-https://www.yuanzifan.com/53772.html

其实我什么都没做，但是联想到阿里云主机这几天报了一个灾难级的错误，我也没有理会，因为很多次的经验，都是说处理这个主机的巨大漏洞，需要安装那个什么安骑士，200每月。但是这次登录阿里云，发现安骑士免费了，企业版的价格变成了360元每年。总算有点人性了。文章源自原紫番博客-https://www.yuanzifan.com/53772.html

但是阿里云并没有给出解决方案，根据提示处理之后，这个安全隐患还在。经过了很久的研究，我终于找到了这个问题的核心原因。下面是处理方法：文章源自原紫番博客-https://www.yuanzifan.com/53772.html

1.暂时关掉服务器上的其他站点。文章源自原紫番博客-https://www.yuanzifan.com/53772.html

2.做好备份文章源自原紫番博客-https://www.yuanzifan.com/53772.html

3.打开Wordpress后台，删掉所有主题，只保留一个你正在使用的主题。文章源自原紫番博客-https://www.yuanzifan.com/53772.html

4.打开网站后台文件。假设你的主题叫themeabc, 那就是wp-content/themes/themesabc/文章源自原紫番博客-https://www.yuanzifan.com/53772.html

这个文件夹下，有一个funcitons.php的函数。打开这个函数，在其中，以关键词“wp_vcd” 或者“wp-tmp” 寻找，一般能找到下面的恶意代码：文章源自原紫番博客-https://www.yuanzifan.com/53772.html

文章源自原紫番博客-https://www.yuanzifan.com/53772.html

将这部分的恶意代码删除，注意不要影响到原本的主题代码。这个需要仔细查看，一般这个恶意代码会加100多行。

5.打开根目录/wp-includes/post.php，一般有会有下面的恶意包含文件：

6.依旧在wp-includes目录下，找到这三个文件（如果有，就是均已被感染）

wp-feed.php
wp-vcd.php
wp-tmp.php

把这三个文件全部删除。

需要注意，在删除wp-vcd.php的时候，可能会导致全站报错，这个时候需要根据代码注入的位置和具体内容调整一下。才可以避免全站报错。如果实在不会搞，一个简单粗暴的方法就是，把wp-vcd中的这行代码注销：

7.最后，把你全站的代码下载到本地，使用代码编译器全局搜索这个词：

pushqwer

命令行代码：

grep -Ril ‘pushqwer’ *

找到了就删掉

再找deloplen，找到并删掉

grep -rnl ‘deloplen’ *

8.最后，如果你做了全站缓存，记得一定把全站缓存清除掉，不染病毒还会感染回来。

参考内容：

https://rui-qiu.com/tools/how-to-remove-wordpress-malware-src-deloplen-com-apu-php/（特别感谢）

https://stackoverflow.com/questions/46219263/php-code-in-functions-php-of-all-wordpress-websites-on-my-shared-hosting

https://wordpress.org/support/topic/ad-malware-on-our-site-but-cant-remove/

https://wordpress.org/support/topic/warnings-unknown-file-in-wordpress-core-wp-includes-wp-tmp-php/