1. 首页
  2. 问答
  3. 恶意软件或必需文件?在GoDaddy的/ Installatron WordPress站点的eval(BASE64_DECODE

恶意软件或必需文件?在GoDaddy的/ Installatron WordPress站点的eval(BASE64_DECODE

2017-08-15 115 views
1

大家恶意软件或必需文件?在GoDaddy的/ Installatron WordPress站点的eval(BASE64_DECODE

我应该删除此文件,或任何相关文件

文件名称:!?deleteme.4a768ebd031b45c884f93d1314642dbb.php

文件地点:的public_html /域-name.com/wp-content

文件的内容:( “编码的内容” 作为一个占位符,下面解码)

<?php 
/******************************************************************************\ 
|*                   *| 
|* All text, code and logic contained herein is copyright by Installatron LLC *| 
|* and is a part of 'the Installatron program' as defined in the Installatron *| 
|* license: http://installatron.com/plugin/eula        *| 
|*                   *| 
|* THE COPYING OR REPRODUCTION OF ANY TEXT, PROGRAM CODE OR LOGIC CONTAINED *| 
|* HEREIN IS EXPRESSLY PROHIBITED. VIOLATORS WILL BE PROSECUTED TO THE FULL *| 
|* EXTENT OF THE LAW.               *| 
|*                   *| 
|* If this license is not clear to you, DO NOT CONTINUE;      *| 
|* instead, contact Installatron LLC at: [email protected]    *| 
|*                   *| 
\******************************************************************************/ 
eval(base64_decode('CODED CONTENT'));

解码的内容:

$file =($p = strpos(__FILE__,"("))=== false ? __FILE__ : substr(__FILE__,0,$p);if (!unlink($file)){ chmod($file,0777); unlink($file);}define("ABSPATH", dirname(dirname($file))."/");include_once(ABSPATH."wp-config.php");include_once(ABSPATH."wp-admin/includes/file.php");include_once(ABSPATH."wp-admin/includes/plugin.php");include_once(ABSPATH."wp-admin/includes/theme.php");include_once(ABSPATH."wp-admin/includes/misc.php");$k = substr($_SERVER["QUERY_STRING"],0,32);$u = substr($_SERVER["QUERY_STRING"],32);$h = $wpdb->get_var($wpdb->prepare("SELECT user_pass FROM {$wpdb->users} WHERE ID = %s", $u));if (is_string($h) &&($k === md5(mktime(date("H"), date("i"), 0).md5($h))     || $k === md5(mktime(date("H"), date("i")-1, 0).md5($h))     || $k === md5(mktime(date("H"), date("i")+1, 0).md5($h)))){ wp_set_auth_cookie($u);}header("Location: ".'http://www.domain-name.com/wp-admin/');

背景: 我最近重置我的cPanel上GoDaddy的,因为程序员关Fiverr告诉我,我的网站都被恶意软件感染从GoDaddy的一侧被服务。每次他删除恶意软件时,它都会返回。我的内存和I/O使用超载,我的所有网站都无法使用。 GoDaddy告诉我这是一个虚假陈述,他们的“防火墙”会阻止它。我重置了CPanel,安装了一个新的Wordpress网站,并且功能正常,但是我在文件中找到了它。我不愿意继续新的网站建设,不理解这一点。

使用WordFence,不会触发警告。

有一点建议吗?谢谢!

来源

2017-08-15 Anni

+1

这可能是恶意软件。 – SLaks

+0

它的插件的合法部分,你去链接? – rtfm

+0

我没有看到任何可以遵循的链接。我确实检查了解码内容中引用的每个.php文件,但我没有看到任何随机链接或任何不合适的地方。 – Anni

回答

-1

这看起来很可疑。显然,这是一种将恶意软件嵌入到php网站的非常流行的方式。 https://aw-snap.info/articles/php-examples.php

没有合理的程序员会将这样的代码嵌入到页面中。它也看起来像试图删除自己,这很奇怪。它也从数据库中选择密码,这很奇怪。我会把它称为100%的恶意软件。

来源

2017-08-15 22:30:39 Jordan

+1

不是真的,因为人们试图保护他们的代码非常普遍。 – rtfm

+0

一个红旗?我会让它滑动。 3个红旗?我会删除它。它会在运行时删除自己(使用unlink($ file)),所以它可能不会造成任何伤害。 – Jordan

+0

如何确定它是恶意软件还是代码保护? – Anni

1

看起来像恶意软件。

您可以使用Sucuri在线扫描您的网站 - >https://sitecheck.sucuri.net/。只需在其中输入您的网站网址并查看它的报告。

另一种方法是将您的文件保存在本地计算机上,并使用一些防病毒/反恶意软件工具来扫描该文件。

由于您运行wordpress安装此插件:防恶意软件安全和蛮力防火墙。激活它,进入设置,使用您的电子邮件地址注册API密钥,更新定义并开始全面扫描。它将扫描您的所有站点文件夹/文件以查找恶意软件并提供报告。

请记住,它可能会显示一些文件被感染,实际上它们可能是合法的。所以我建议你手动检查每个报告的文件。

我使用这个插件很长一段时间,它非常擅长识别恶意软件/可疑文件。所以试试吧。

来源

2017-08-17 07:02:14

相关问题

 相关问题