大家!

我应该删除此文件或任何相关文件吗?

文件名:deleteme.4a768ebd031b45c884f93d1314642dbb.php

档案位置:public_html / domain-name.com / wp-content

文件内容:(用作占位符的“ CODED CONTENT”,下面解码)

   <?php
/******************************************************************************\
|*                                                                            *|
|* All text, code and logic contained herein is copyright by Installatron LLC *|
|* and is a part of 'the Installatron program' as defined in the Installatron *|
|* license: http://installatron.com/plugin/eula                               *|
|*                                                                            *|
|* THE COPYING OR REPRODUCTION OF ANY TEXT, PROGRAM CODE OR LOGIC CONTAINED   *|
|* HEREIN IS EXPRESSLY PROHIBITED. VIOLATORS WILL BE PROSECUTED TO THE FULL   *|
|* EXTENT OF THE LAW.                                                         *|
|*                                                                            *|
|* If this license is not clear to you, DO NOT CONTINUE;                      *|
|* instead, contact Installatron LLC at: support@installatron.com             *|
|*                                                                            *|
\******************************************************************************/
eval(base64_decode('CODED CONTENT'));

解码内容:

$file =( $p = strpos(__FILE__,"(") )=== false ? __FILE__ : substr(__FILE__,0,$p);if (!unlink($file)){   chmod($file,0777);  unlink($file);}define("ABSPATH", dirname(dirname($file))."/");include_once(ABSPATH."wp-config.php");include_once(ABSPATH."wp-admin/includes/file.php");include_once(ABSPATH."wp-admin/includes/plugin.php");include_once(ABSPATH."wp-admin/includes/theme.php");include_once(ABSPATH."wp-admin/includes/misc.php");$k = substr($_SERVER["QUERY_STRING"],0,32);$u = substr($_SERVER["QUERY_STRING"],32);$h = $wpdb->get_var( $wpdb->prepare( "SELECT user_pass FROM {$wpdb->users} WHERE ID = %s", $u ) );if ( is_string($h) &&( $k === md5(mktime(date("H"), date("i"), 0).md5($h))                    || $k === md5(mktime(date("H"), date("i")-1, 0).md5($h))                    || $k === md5(mktime(date("H"), date("i")+1, 0).md5($h)) )){ wp_set_auth_cookie($u);}header("Location: ".'http://www.domain-name.com/wp-admin/');

背景:最近我在GoDaddy上重置了CPanel,因为来自Fiverr的程序员告诉我,我的网站都受到了GoDaddy端提供的恶意软件的感染。 每次删除恶意软件时,它都会返回。 我的RAM和I / O使用超载,所有站点均无法正常运行。 GoDaddy告诉我这是一个错误的陈述,他们的“防火墙”可以阻止这种情况。 我重置了CPanel,安装了新的Wordpress网站,并且一切正常,但是我在文件中找到了。 我犹豫要继续一个新的站点构建,而不是理解这一点。

使用WordFence不会触发警告。

请问一些建议吗? 谢谢!

#1楼 票数:1

看起来像恶意软件。

您可以使用Sucuri-> https://sitecheck.sucuri.net/在线扫描您的网站。 只需在此处输入您的网站URL,然后查看其报告。

另一种方法是将文件本地保存在计算机上,并使用某些防病毒/恶意软件工具扫描该文件。

由于您正在运行wordpress,因此请安装以下插件: Anti-Malware Security和Brute-Force Firewall 激活它,转到设置,使用您的电子邮件地址注册API密钥,更新定义并开始全面扫描。 它将扫描您所有站点文件夹/文件中是否存在恶意软件,并提供报告。

请记住,它可能会向您显示某些文件已被感染,实际上它们可能是合法的。 因此,我建议您手动检查每个报告的文件。

我使用这个插件已经很长时间了,它非常擅长识别恶意软件/可疑文件。 所以试试吧。

#2楼 票数:0

这个问题有点老了,但是如果有人仍然对此感到好奇,让我阐明一下:

  • 它不是恶意软件。
  • 它是Installatron软件自动登录系统(在GoDaddy中使用,但在其他一些托管服务提供商中使用)的遗留物。
  • 例如,发生这种情况是因为在自动登录过程中为此文件使用了该文件,但是如果该过程被中断或阻止,则该文件将保留。
  • 您可以安全地删除它。
  • 由于编码风格的原因,它通常会在扫描仪中引发误报检测。

希望能帮助到你!

#3楼 票数:-1

这看起来非常可疑。 显然,这是将恶意软件嵌入php站点的一种非常流行的方法。 https://aw-snap.info/articles/php-examples.php

没有一个合理的程序员会将这样的代码嵌入到页面中。 看起来它也尝试删除自己,这很奇怪。 它还从数据库中选择密码,这很奇怪。 我将其称为100%恶意软件。

  ask by Anni translate from so

未解决问题?本站智能推荐:

3回复

WordPress站点似乎没有恶意软件,但是单击Google搜索结果将重定向到垃圾邮件站点

给我带来了一个涉及WP环境中的恶意软件的问题。 当我在Google中搜索品牌并单击相应的链接时,我被重定向到第三方垃圾邮件站点。 这已经发生了一段时间(一周以上),但我的网站尚未被列入Google的黑名单。 此外,像,Norton Safeweb等之类的站点扫描程序都声称该站点没有受到破
2回复

我的网站上的jQuery.min.php恶意软件

从熟悉jquery Malware的任何人那里寻求帮助。 我在WordPress网站中感染了注入脚本,并且每次24小时后从Header.php中删除注入代码时,它都会将其修改后的版本注入回到托管服务器上的Header.php文件中。 快把我逼疯。 该站点为www.icrsolutions
1回复

托管在不同服务器上的网站再次遭到相同的base64恶意软件代码入侵[关闭]

我的网站托管在使用相同的base64恶意软件代码一次又一次被黑客入侵的不同服务器上。 当我解码base64代码时,我获得了mbrowserstats.com/statH/stat.php的链接。 请注意:我的核心php和wordpress网站遭到黑客入侵。 他们在以下文件中放置了base
1回复

如何在网站上找到恶意代码/恶意软件[关闭]

我的Wordpress网站最近被恶意软件感染,并被列入黑名单。 我以为我通过更新网站和插件并删除任何我无法识别的代码来修复它。 然后我使用了Sucuri Site Checker,看起来没问题,所以我向Google提交了一份评论请求。 但是,Google表示它仍然包含恶意代码形式的恶意软
1回复

Wordpress/Godaddy:我怎么知道这个.htaccess是否有恶意软件?WP-currentver.php

Godaddy将我的/html/.htaccess文件标记为可能的恶意软件。 这是恶意的吗? Fwiw,它还将wp-currentver.php标记为可能的恶意软件。 我的网站看起来很好,看起来运行正常。
2回复

WordPress安装中伪装的恶意软件

我们网站的某些用户在访问该网站时已经开始收到有关“特洛伊木马威胁”的报告。 听到此消息后,我搜索了恶意软件代码,但无法在任何地方找到它。 我安装了Sucuci SiteCheck插件,并且报告了以下内容: http://sitecheck.sucuri.net/scanner/?&am
1回复

创建新文件时如何获取电子邮件警报?交友/南国/Centos的

我试图跟踪服务器中的一些后门,每天都在创建或修改新文件,并阅读访问日志,我只能找到通过Web请求这些文件的IP地址。 由于在FTP消息日志中找不到任何内容,因此我在考虑如何跟踪文件创建。 我可以在etc / profile.d中设置自定义脚本,每次用户通过ssh登录时,该脚本都会向我发送
1回复

带有tagDivNewspaper主题的受密码保护的WordPress网站被恶意软件感染

我正在一个 WordPress 网站上工作,该网站每 x 周就会被恶意软件感染一次,但我们找不到导致问题的原因。 一些背景资料: 该网站位于受密码保护的单独开发域中。 在开发过程中,我们会在有可用更新时更新软件。 发生的情况是,在随机数周后,当我们尝试访问该网站时,我们会被重定向到垃圾邮件站点。 网