恶意软件或必要文件? eval(GoDaddy / Installatron Wordpress网站上的base64_decode

时间:2017-08-15 22:25:14

标签: php wordpress base64 cpanel malware

大家好!

我应该删除此文件还是任何相关文件?

文件名:deleteme.4a768ebd031b45c884f93d1314642dbb.php

档案位置:public_html / domain-name.com / wp-content

文件内容:(“CODED CONTENT”用作占位符,下面已解码)

   <?php
/******************************************************************************\
|*                                                                            *|
|* All text, code and logic contained herein is copyright by Installatron LLC *|
|* and is a part of 'the Installatron program' as defined in the Installatron *|
|* license: http://installatron.com/plugin/eula                               *|
|*                                                                            *|
|* THE COPYING OR REPRODUCTION OF ANY TEXT, PROGRAM CODE OR LOGIC CONTAINED   *|
|* HEREIN IS EXPRESSLY PROHIBITED. VIOLATORS WILL BE PROSECUTED TO THE FULL   *|
|* EXTENT OF THE LAW.                                                         *|
|*                                                                            *|
|* If this license is not clear to you, DO NOT CONTINUE;                      *|
|* instead, contact Installatron LLC at: support@installatron.com             *|
|*                                                                            *|
\******************************************************************************/
eval(base64_decode('CODED CONTENT'));

解码内容:

$file =( $p = strpos(__FILE__,"(") )=== false ? __FILE__ : substr(__FILE__,0,$p);if (!unlink($file)){   chmod($file,0777);  unlink($file);}define("ABSPATH", dirname(dirname($file))."/");include_once(ABSPATH."wp-config.php");include_once(ABSPATH."wp-admin/includes/file.php");include_once(ABSPATH."wp-admin/includes/plugin.php");include_once(ABSPATH."wp-admin/includes/theme.php");include_once(ABSPATH."wp-admin/includes/misc.php");$k = substr($_SERVER["QUERY_STRING"],0,32);$u = substr($_SERVER["QUERY_STRING"],32);$h = $wpdb->get_var( $wpdb->prepare( "SELECT user_pass FROM {$wpdb->users} WHERE ID = %s", $u ) );if ( is_string($h) &&( $k === md5(mktime(date("H"), date("i"), 0).md5($h))                    || $k === md5(mktime(date("H"), date("i")-1, 0).md5($h))                    || $k === md5(mktime(date("H"), date("i")+1, 0).md5($h)) )){ wp_set_auth_cookie($u);}header("Location: ".'http://www.domain-name.com/wp-admin/');

背景: 我最近在GoDaddy上重置了我的CPanel,因为Fiverr的程序员告诉我,我的网站都被GoDaddy方提供的恶意软件感染了。每次他删除恶意软件,它都会返回。我的RAM和I / O使用率过载,我的所有网站都无法运行。 GoDaddy告诉我这是一个错误的陈述,他们的“防火墙”会阻止它。我重置了CPanel,安装了一个新的Wordpress站点,并且功能正常,但我在文件中找到了这个。我不愿意继续新的网站构建,而不是理解这一点。

使用WordFence,不会触发警告。

请一点建议?谢谢!

3 个答案:

答案 0 :(得分:1)

看起来像恶意软件。

您可以使用Sucuri在线扫描您的网站 - &gt; https://sitecheck.sucuri.net/。只需在那里输入您的网站网址,然后查看它的报告内容。

另一种方法是在您的计算机上本地保存您的文件,并使用一些防病毒/反恶意软件工具来扫描该文件。

由于您正在运行wordpress,请安装此插件:防恶意软件安全和暴力防火墙。激活它,转到“设置”,使用您的电子邮件地址注册API密钥,更新定义并开始完整扫描。它将扫描所有站点文件夹/文件,查找恶意软件并提供报告。

请记住,它可能会向您显示某些文件被感染,实际上它们可能是合法的。所以我建议您手动检查每个报告的文件。

我在很长一段时间内使用此插件,并且非常擅长识别恶意软件/可疑文件。所以试一试。

答案 1 :(得分:0)

这个问题有点老了,但是如果有人仍然对此感到好奇,让我阐明一下:

  • 这不是恶意软件。
  • 它是Installatron软件自动登录系统(在GoDaddy中使用,但在其他一些托管服务提供商中使用)的剩余部分。
  • 之所以发生这种情况,是因为在自动登录过程中使用了该文件,但是如果该过程被中断或阻止,则该文件仍然存在。
  • 您可以安全地删除它。
  • 由于编码风格,通常会在扫描仪中引发误报检测。

希望有帮助!

答案 2 :(得分:-1)

这看起来非常可疑。显然,这是一种将恶意软件嵌入php网站的非常流行的方式。 https://aw-snap.info/articles/php-examples.php

没有合理的程序员会将这样的代码嵌入到页面中。看起来它也试图删除自己,这很奇怪。它还从数据库中选择密码,这很奇怪。我会称它为100%恶意软件。

相关问题
最新问题