2017-08-15 110 views
1

大家惡意軟件或必需文件?在GoDaddy的/ Installatron WordPress站點的eval(BASE64_DECODE

我應該刪除此文件,或任何相關文件

文件名稱:!?deleteme.4a768ebd031b45c884f93d1314642dbb.php

文件地點:的public_html /域-name.com/wp-content

文件的內容:( 「編碼的內容」 作爲一個佔位符,下面解碼)

<?php 
/******************************************************************************\ 
|*                   *| 
|* All text, code and logic contained herein is copyright by Installatron LLC *| 
|* and is a part of 'the Installatron program' as defined in the Installatron *| 
|* license: http://installatron.com/plugin/eula        *| 
|*                   *| 
|* THE COPYING OR REPRODUCTION OF ANY TEXT, PROGRAM CODE OR LOGIC CONTAINED *| 
|* HEREIN IS EXPRESSLY PROHIBITED. VIOLATORS WILL BE PROSECUTED TO THE FULL *| 
|* EXTENT OF THE LAW.               *| 
|*                   *| 
|* If this license is not clear to you, DO NOT CONTINUE;      *| 
|* instead, contact Installatron LLC at: [email protected]    *| 
|*                   *| 
\******************************************************************************/ 
eval(base64_decode('CODED CONTENT')); 

解碼的內容:

$file =($p = strpos(__FILE__,"("))=== false ? __FILE__ : substr(__FILE__,0,$p);if (!unlink($file)){ chmod($file,0777); unlink($file);}define("ABSPATH", dirname(dirname($file))."/");include_once(ABSPATH."wp-config.php");include_once(ABSPATH."wp-admin/includes/file.php");include_once(ABSPATH."wp-admin/includes/plugin.php");include_once(ABSPATH."wp-admin/includes/theme.php");include_once(ABSPATH."wp-admin/includes/misc.php");$k = substr($_SERVER["QUERY_STRING"],0,32);$u = substr($_SERVER["QUERY_STRING"],32);$h = $wpdb->get_var($wpdb->prepare("SELECT user_pass FROM {$wpdb->users} WHERE ID = %s", $u));if (is_string($h) &&($k === md5(mktime(date("H"), date("i"), 0).md5($h))     || $k === md5(mktime(date("H"), date("i")-1, 0).md5($h))     || $k === md5(mktime(date("H"), date("i")+1, 0).md5($h)))){ wp_set_auth_cookie($u);}header("Location: ".'http://www.domain-name.com/wp-admin/'); 

背景: 我最近重置我的cPanel上GoDaddy的,因爲程序員關Fiverr告訴我,我的網站都被惡意軟件感染從GoDaddy的一側被服務。每次他刪除惡意軟件時,它都會返回。我的內存和I/O使用超載,我的所有網站都無法使用。 GoDaddy告訴我這是一個虛假陳述,他們的「防火牆」會阻止它。我重置了CPanel,安裝了一個新的Wordpress網站,並且功能正常,但是我在文件中找到了它。我不願意繼續新的網站建設,不理解這一點。

使用WordFence,不會觸發警告。

有一點建議嗎?謝謝!

+1

這可能是惡意軟件。 – SLaks

+0

它的插件的合法部分,你去鏈接? – rtfm

+0

我沒有看到任何可以遵循的鏈接。我確實檢查瞭解碼內容中引用的每個.php文件,但我沒有看到任何隨機鏈接或任何不合適的地方。 – Anni

回答

-1

這看起來很可疑。顯然,這是一種將惡意軟件嵌入到php網站的非常流行的方式。 https://aw-snap.info/articles/php-examples.php

沒有合理的程序員會將這樣的代碼嵌入到頁面中。它也看起來像試圖刪除自己,這很奇怪。它也從數據庫中選擇密碼,這很奇怪。我會把它稱爲100%的惡意軟件。

+1

不是真的,因爲人們試圖保護他們的代碼非常普遍。 – rtfm

+0

一個紅旗?我會讓它滑動。 3個紅旗?我會刪除它。它會在運行時刪除自己(使用unlink($ file)),所以它可能不會造成任何傷害。 – Jordan

+0

如何確定它是惡意軟件還是代碼保護? – Anni

1

看起來像惡意軟件。

您可以使用Sucuri在線掃描您的網站 - >https://sitecheck.sucuri.net/。只需在其中輸入您的網站網址並查看它的報告。

另一種方法是將您的文件保存在本地計算機上,並使用一些防病毒/反惡意軟件工具來掃描該文件。

由於您運行wordpress安裝此插件:防惡意軟件安全和蠻力防火牆。激活它,進入設置,使用您的電子郵件地址註冊API密鑰,更新定義並開始全面掃描。它將掃描您的所有站點文件夾/文件以查找惡意軟件並提供報告。

請記住,它可能會顯示一些文件被感染,實際上它們可能是合法的。所以我建議你手動檢查每個報告的文件。

我使用這個插件很長一段時間,它非常擅長識別惡意軟件/可疑文件。所以試試吧。

相關問題