今天早上我登录了我的网站,震惊地发现它只是吐出错误信息,并显示了某种上传表格。一个基本上将文件上传到我的服务器上的表单。
我登录了我的服务器并查看了访问日志。看来他访问了我的wordpress主题的功能文件,完全删除了原文,并创建了一个上传表单。 使用该上传表单,他然后上传了以下文件。
编辑:我不得不将代码复制到hastebin,它太大了,不能在这里发布。
http://hastebin.com/itedinefiz.php
他将文件命名为web-info.php。我没有运行该文件,因为我担心它可能会对我的网站造成一些有害的事情。
有人能告诉我这个文件的作用吗?
无论如何,我已经恢复了我的wordpress主题的functions.php文件,并从服务器上删除了web-info.php文件,现在看来该网站又在运行。
哦,我的猜测他获得了访问我网站的权限,因为我的登录凭据非常简单......对我来说非常愚蠢:(
答案 0 :(得分:2)
在做了一些研究之后我想出了什么。
我上面发布的恶意文件是使用eval编码的(gzinflate(base64_decode));
感谢http://ddecode.com/phpdecoder/我能解码它,这是黑客留下的原始PHP文件:
我在本地机器上运行文件,这是废话!它是rootkit的完整版。它具有庞大的界面,几乎可以覆盖整个服务器。它似乎让你浏览服务器上的整个文件,运行SQL代码,运行php代码,brutforce选项,网络选项等。
我认为最安全的是取消我从Bluehost租用的整个VPS,正常的wordpress卸载不会有任何好处。