这些文件是PHP恶意软件感染的一部分。我们正在清理一种行为非常相似的持续感染。

虽然此PHP恶意软件也会感染非WordPress，但当它攻击WordPress网站时，我们注意到一些非常一致的模式：

两个文件（“advanced\\u settings.php”和“common\\u config.php”）都包含模糊代码，放在wp-admin/css/colors/blue 文件夹将向索引中插入其他模糊代码。WordPress安装根目录下的php文件通常是索引，但并不总是索引。php文件位于wp-content/plugins 和/或wp-content/themes 将代码插入wp配置。WordPress安装根目录下的php文件通常会插入一系列额外的代码。php文件被随机插入主题文件夹和插件文件夹中，最后，以下附加文件被一致地插入到每个WordPress安装中：

wp-includes/Requests/Auth/include.php wp-includes/Requests/Exception/global.php wp-includes/Requests/Exception/include.php wp-includes/Requests/Exception/utf.php wp-includes/Requests/Proxy/sql.php wp-includes/Requests/Utility/defines.php wp-includes/SimplePie/Net/javascript.php wp-includes/js/imgareaselect/test11.php wp-includes/js/tinymce/plugins/diff21.php wp-includes/pomo/menu.php

这些额外的文件不是WordPress核心的一部分，因此只需上传一组新的WordPress文件来覆盖安装在web服务器上的文件，就不会删除它们（尽管这会修复一些插入了代码的文件）。

如果您看到您提到的2个文件随机出现，请查找此处提到的一些迹象。特别是，在索引中查找注入的代码。php和wp配置。php文件，因为这些文件将在任何时候有人访问您的站点或您作为管理员用户登录您的站点时执行。

在一些受此恶意软件感染的WordPress站点中，我们还发现出现了一个具有管理权限的额外WordPress用户帐户。

除了删除注入的代码和其他文件外，我们目前正在采取步骤删除伪造的用户帐户（添加后），替换wp配置中的“Salts”。php文件，使所有用户帐户密码无效，并更改数据库用户的MySQL密码。

我们可能会采取其他措施，但这就是我们目前正在做的。我希望这是有益的！