恶意软件或必需文件?在GoDaddy的/ Installatron WordPress站点的eval(BASE64_DECODE
大家恶意软件或必需文件?在GoDaddy的/ Installatron WordPress站点的eval(BASE64_DECODE
我应该删除此文件,或任何相关文件
文件名称:!?deleteme.4a768ebd031b45c884f93d1314642dbb.php
文件地点:的public_html /域-name.com/wp-content
文件的内容:( “编码的内容” 作为一个占位符,下面解码)
<?php
/******************************************************************************\
|* *|
|* All text, code and logic contained herein is copyright by Installatron LLC *|
|* and is a part of 'the Installatron program' as defined in the Installatron *|
|* license: http://installatron.com/plugin/eula *|
|* *|
|* THE COPYING OR REPRODUCTION OF ANY TEXT, PROGRAM CODE OR LOGIC CONTAINED *|
|* HEREIN IS EXPRESSLY PROHIBITED. VIOLATORS WILL BE PROSECUTED TO THE FULL *|
|* EXTENT OF THE LAW. *|
|* *|
|* If this license is not clear to you, DO NOT CONTINUE; *|
|* instead, contact Installatron LLC at: [email protected] *|
|* *|
\******************************************************************************/
eval(base64_decode('CODED CONTENT'));
解码的内容:
$file =($p = strpos(__FILE__,"("))=== false ? __FILE__ : substr(__FILE__,0,$p);if (!unlink($file)){ chmod($file,0777); unlink($file);}define("ABSPATH", dirname(dirname($file))."/");include_once(ABSPATH."wp-config.php");include_once(ABSPATH."wp-admin/includes/file.php");include_once(ABSPATH."wp-admin/includes/plugin.php");include_once(ABSPATH."wp-admin/includes/theme.php");include_once(ABSPATH."wp-admin/includes/misc.php");$k = substr($_SERVER["QUERY_STRING"],0,32);$u = substr($_SERVER["QUERY_STRING"],32);$h = $wpdb->get_var($wpdb->prepare("SELECT user_pass FROM {$wpdb->users} WHERE ID = %s", $u));if (is_string($h) &&($k === md5(mktime(date("H"), date("i"), 0).md5($h)) || $k === md5(mktime(date("H"), date("i")-1, 0).md5($h)) || $k === md5(mktime(date("H"), date("i")+1, 0).md5($h)))){ wp_set_auth_cookie($u);}header("Location: ".'http://www.domain-name.com/wp-admin/');
背景: 我最近重置我的cPanel上GoDaddy的,因为程序员关Fiverr告诉我,我的网站都被恶意软件感染从GoDaddy的一侧被服务。每次他删除恶意软件时,它都会返回。我的内存和I/O使用超载,我的所有网站都无法使用。 GoDaddy告诉我这是一个虚假陈述,他们的“防火墙”会阻止它。我重置了CPanel,安装了一个新的Wordpress网站,并且功能正常,但是我在文件中找到了它。我不愿意继续新的网站建设,不理解这一点。
使用WordFence,不会触发警告。
有一点建议吗?谢谢!
这看起来很可疑。显然,这是一种将恶意软件嵌入到php网站的非常流行的方式。 https://aw-snap.info/articles/php-examples.php。
没有合理的程序员会将这样的代码嵌入到页面中。它也看起来像试图删除自己,这很奇怪。它也从数据库中选择密码,这很奇怪。我会把它称为100%的恶意软件。
看起来像恶意软件。
您可以使用Sucuri在线扫描您的网站 - >https://sitecheck.sucuri.net/。只需在其中输入您的网站网址并查看它的报告。
另一种方法是将您的文件保存在本地计算机上,并使用一些防病毒/反恶意软件工具来扫描该文件。
由于您运行wordpress安装此插件:防恶意软件安全和蛮力防火墙。激活它,进入设置,使用您的电子邮件地址注册API密钥,更新定义并开始全面扫描。它将扫描您的所有站点文件夹/文件以查找恶意软件并提供报告。
请记住,它可能会显示一些文件被感染,实际上它们可能是合法的。所以我建议你手动检查每个报告的文件。
我使用这个插件很长一段时间,它非常擅长识别恶意软件/可疑文件。所以试试吧。
这可能是恶意软件。 – SLaks
它的插件的合法部分,你去链接? – rtfm
我没有看到任何可以遵循的链接。我确实检查了解码内容中引用的每个.php文件,但我没有看到任何随机链接或任何不合适的地方。 – Anni