wordpress 需要帮助整理恶意PHP恶意文件

zzzyeukh  于 2022-12-29  发布在  WordPress
关注(0)|答案(1)|浏览(180)

我最近在我的WP安装中发现了一个插件内的plugin.php,它被执行了,幸运的是返回了一些错误。
这些文件以下列内容开始:

<?php

/**
 * Author: plugin
 * License: GPL v2 or later
 * License URI: https://www.gnu.org/licenses/gpl-2.0.html
 * Plugin Name: Plugin
 * Requires PHP: 5.4
 * Requires at least: 5.0
 * Text Domain: plugin
 * Version: 1.0
 */

if ( ! defined( 'ABSPATH' ) ) {
    exit();
}

 #¾êºÐý½s4+{œîÇê7ÀTG4î8TlŸþ§àU,åœàJ›ÒK.-èÒÃåbÀ¢žÇŒ±¤ùâÕDÑ!ò¡,÷YÛIŠ:£‘%½DF¶…àõzejXhøÑ_Ó—'þ6wNƆŽh•ÙB¾kn5J¥ðëÒˆ+1eÀ\¶xVÎïFÃã—aÊŨ±WAÄ®€>©áBPìXÄW1£@A3æ|ˆé§‚‰À°j„øÈUʶ„k'ÕüÒ¿.é¾}¾4óÍz„ßœønœâé.­6Z"vz¦_ÅÕ+—Z7‹ ÷Ó†Étͣ˛⩋wÓ"=£h6íÞéBB    /*%0ÕH‘%0.4‡?.ňuÀÀƒDFÌ!úé•6!ßNnRüôÅ•þÞÊNº.$H‘óÏ¿†y•³!Š7àx»Ñ´<ö~Þ|l}ì1²G'RÖº¤mQr»Ÿ3êßUëü•ùÑ@à»Yt²¼42ŽOy4z·–ïÄ‹^«î {ýFVD5¬ˆ_$7çyV8>í¹µÒ7OòžN’…3O¢àÐåF×ß~ÉÅù¿€IØälpŽwÝÌ7\ Š¿@CÜ¡•KßnÚV‚Å9ä­q˜ÞynˆßÿKEIk¯nÆ•RÄŒn1e16;L5›ËÍYð5g˜œ*/

并继续。我怀疑这里涉及到十六进制+ eval + gzip。
要知道此文件的用途,我可以做些什么?
下面是完整文件的链接
https://pastebin.com/redDEFJM
我试了一些在线工具,但没有任何提示

rjee0c15

rjee0c151#

你能确认你下载的PasteBin文件与你找到的文件完全匹配吗?去掉注解后,代码看起来:汇编字符串数组;将字符串连接在一起;尝试使用gzinflate解压缩结果;然后如果GZINFLOW没有由于无效数据而失败,则评估结果。
在原始字符串中有许多特殊字符,所以我想知道是复制粘贴到PasteBin,呈现PasteBin,还是我从那里下载正在做的一个小的改变,破坏了压缩流。
我也会继续关注它,但这里有一些处理混淆的想法:

  • 去掉注解-我使用了一个惰性正则表达式/\*.*?\*/
  • 最后(在模糊位中)得到三条语句
  • 对252项数组的赋值
  • 对最后一个项(即“gzinflate”)的新单值数组的赋值
  • 对剩余数组项的串联运行“gzinflate”的输出求值
  • 因此,您可以只使用第一条语句来形成数组,然后像最后一条语句那样连接条目
  • 然后可以将其传递给gzinflate,并且输出应该给予它试图执行的代码

相关问题