wordpress 恶意软件文件检查
wordpress malware files inspection
我在我的 wordpress 站点中发现了几个与 wordpress 默认文件无关的可疑文件 (wp-credit.php),通过 运行ning 它创建了另一个名称为 (w-credits.php)
需要帮助分析它,因为它已加密
1 ) wp-credit.php ( http://pastebin.com/zn3Ck0ME or http://www.pastebin.ca/3031425 )
2 ) wp-credits.php 由 wp-credit.php 创建,当 运行 它 (http://www.pastebin.ca/3031424 )
3 ) wp-searches.php ( http://www.pastebin.ca/3031436 )
没有理由 "brute force decrypt" 这些文件中的任何一个。它们都只是对 PHP 源代码的轻微混淆。 unphp.net 之类的网站可以帮助您在源代码可读性方面取得长足进步。
wp-credit.php 似乎是一个后门程序。它通过 $_COOKIE 超全局值查找加密代码、密钥和授权代码。它解密加密代码并对其进行评估。
wp-credits.php 和 wp-searches.php,去混淆后,给出 "Web Shell by oRb" 的 2.5 版本,可能是最流行的 PHP web shell .
您应该(希望已经)查看您的 WordPress 安装以查看 wp-credit.php 文件的来源。不幸的是,这里有无数种可能性,从 WordPress 错误到代码注入主题,再到猜到您的 WordPress 管理员登录名和密码。
我在我的 wordpress 站点中发现了几个与 wordpress 默认文件无关的可疑文件 (wp-credit.php),通过 运行ning 它创建了另一个名称为 (w-credits.php) 需要帮助分析它,因为它已加密
1 ) wp-credit.php ( http://pastebin.com/zn3Ck0ME or http://www.pastebin.ca/3031425 )
2 ) wp-credits.php 由 wp-credit.php 创建,当 运行 它 (http://www.pastebin.ca/3031424 )
3 ) wp-searches.php ( http://www.pastebin.ca/3031436 )
没有理由 "brute force decrypt" 这些文件中的任何一个。它们都只是对 PHP 源代码的轻微混淆。 unphp.net 之类的网站可以帮助您在源代码可读性方面取得长足进步。
wp-credit.php似乎是一个后门程序。它通过 $_COOKIE 超全局值查找加密代码、密钥和授权代码。它解密加密代码并对其进行评估。wp-credits.php和wp-searches.php,去混淆后,给出 "Web Shell by oRb" 的 2.5 版本,可能是最流行的 PHP web shell .
您应该(希望已经)查看您的 WordPress 安装以查看 wp-credit.php 文件的来源。不幸的是,这里有无数种可能性,从 WordPress 错误到代码注入主题,再到猜到您的 WordPress 管理员登录名和密码。