WordPress的恶意软件文件的检查
问题描述:
,我发现几个可疑文件(WP-credit.php)在我的WordPress网站这是不相关的WordPress的默认文件,运行它创建一个名称(W-credits.php)另一个文件 需要帮助在分析它,因为它的加密WordPress的恶意软件文件的检查
1)WP-credit.php(http://pastebin.com/zn3Ck0ME或http://www.pastebin.ca/3031425)
通过WP-credit.php创建2)WP-credits.php时运行(http://www.pastebin.ca/3031424)
3)wp-searches.php(http://www.pastebin.ca/3031436)
答
没有理由“强行解密”这些文件中的任何一个。它们都只是PHP源代码的轻微混淆。像unphp.net这样的网站可以为您带来可读的源代码。
wp-credit.php似乎是一个后门程序。它通过$ _COOKIE superglobal中的值来查看加密代码,一个密钥以及一个授权代码。它解密加密的代码并评估它。wp-credits.phpandwp-searches.php,当去混淆时,给出版本2.5的“Web Shell by oRb”,可能是最流行的PHP web shell。
你应该(希望已经)通过看你的WordPress安装上看到wp-credit.php文件的来源。不幸的是,这里有无数的可能性,从WordPress的错误,到代码注入的主题,到猜测你的WordPress管理员登录名和密码。
在解密代码之前,您无法将其解析为代码,这可能会在暴力破解方面永远存在。但是你可以做的是做一个蜜罐。将脚本替换为记录$ _GET和$ _POST请求的内容,然后等待密钥通过。值得一提的是,wp-credits.php和wp-searches.php注册为常见恶意软件(被我的建筑中的防火墙阻止)。 – pp19dd