Непонятная дичь на сайтах с одного хостинга. wp-signups.php что происходит?

На сайте, управляемом WordPress появился файл с именем wp-signups.php и совершенно непонятным содержимым. Именно wp-signuPS, а не wp-signuP. Он появился не только на сайте, управляемом WordPress, но и на других сайтах, которые к WordPress не имеют никакого отношения, но находятся на одном аккаунте хостинга и не пересекаются друг с другом.

В этом файле какой то непонятный код и я не понимаю, какую функцию он выполняет. Полностью этот код вставить прямо сюда не могу из за ограничения на количество символов, поэтому размещу его по ссылке.

Кроме того что этот код в файлах wp-signups.php, он и в файлах index.php в самом верху.

На сколько я понял, в переменной $OoooOO0
$OOOOOO = '8111m3';$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c";
алфавит и цифры? И дальше из этого массива $OOOOOO заполняются значения других переменных или что вообще происходит? Пока не понял но возникли подозрения, что сайты взломали и настроили редиректы при определенных условиях, а чтобы это было максимально непонятно - привели код к такому замороченному виду?

У меня самого редирект при посещении сайта не происходит, на одном сайте испортили код в index.php и он у меня загружался в искаженном виде, на втором сайте вообще пустая страница грузилась, а на третьем испорчен .htaccess и вижу ошибку 500 при попытке попасть на сайт.

Такое ощущение что кто то получил доступ к хостингу и нагородил черти что, или что еще могло произойти? Помогите пожалуйста разобраться и понять что делает код, приведенный выше.
  • Вопрос задан
  • 267 просмотров
Решения вопроса 1
@Vindicar
Обычный заобфусцированный шеллкод.
В конце кода видно обращение к curl, а потом fopen()+fwrite() - т.е. шелл умеет скачивать содержимое с указанного URL и записывать его в указанный файл на заражённом хостинге, предположительно для дальнейшего исполнения.

delphinpro в комментариях правильно написал: проверяйте дату изменения файлов (если хакер ленивый, он её не подправил и заражённые файлы будут новее), удаляйте шелл код отовсюду.
Я ещё добавлю: читайте логи вебсервера на предмет запросов к заражённым файлам, ищите хосты, которые обращались (наверняка китайские прокси). Потом ищите все запросы с этих хостов - если повезёт, поймёте как вас поломали. И в любом случае обновляйте вордпресс на последнюю версию, если это ещё не так.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@kot999
Backend software engineer
Сайт взломан, залит какойто зловред.
Возможно он не один,
1. нужно найти и устранить уязвимость через которую он был залит
2. Вычистить зловреда.
Ответ написан
profesor08
@profesor08 Куратор тега PHP
1. Смотри где раньше появился файл, это и будет дырявый сайт.
2. Смотри логи, может повезет и увидишь откуда обращаются к файлу, а там увидишь и куда еще обращаются с того адреса. Так поймешь, где примерно искать дыру.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы