什么是pclzip.lib.php文件，wordfence认为它是恶意代码

Question

我已经检查了原来的wordpress和这个文件不存在，但这个文件回来，每次我删除它。你觉得这是恶意脚本吗？

路径:/wp/uploader/pclzip.lib.php代码：http://www.phpconcept.net/pclzip/pclzip-downloads

Answer 1

在WP核心文件夹中出现额外的文件/文件夹是不正常的。唯一被认为是可写的位置是在wp-content下，容易写的位置是uploads，或者任何定制它们的位置。

如果它看起来是恶意的，则表现为恶意，而安全工具认为它是恶意的--这是一个安全的猜测。它本身也可能不是恶意的，但作为恶意负载的一部分用于实用目的(开放源码！:)。

Answer 2

听起来这绝对是恶意代码伪装成合法文件。在WordPress核心中，合法文件以/wp-admin/includes/class-pclzip.php的形式存在，因此不需要将其作为一个单独的文件存在，合法的用途只是包含这个核心文件类并使用它，而不是在没有询问的情况下将其写入wp-content中的目录。

唯一的其他选择是，它是由一个插件或主题编写的，用于上传--但这是非常不可能的，即使在这种情况下也是一个重大的安全风险，所以任何插件/主题都应该放弃。上传像这样的脚本是最容易被利用的安全漏洞。但是文件的内容应该会给你更多的线索--它可能看起来像垃圾代码。

如果它继续返回，您可能希望更改/ want /uploader/目录上的权限，使其不可写。但这可能不够，也可能不够，这取决于编写脚本的复杂性。通常还有另一个受感染的文件，即在找不到该文件时重写它。

最好的底线是开始研究如何尽快清理被黑客攻击的网站。从像错误检测这样的扫描工具开始，然后从那里开始。使用干净的重新安装WordPress、所有插件和主题，并添加更多的安全插件可能更安全、更快，因为最初的漏洞仍然未知。

Answer 3

根据这个职位的说法，这个文件看起来是一个备份文件。您是否使用任何插件进行备份，例如BTE备份Creator或WordPress？