O que é o arquivo pclzip.lib.php que o wordfence acha que é um código malicioso

2

Eu verifiquei o wordpress original e este arquivo não está lá, mas esse arquivo volta toda vez que eu o apago. Você acha que é um script malicioso?

Caminho: /wp-admin/uploader/pclzip.lib.php Código: enlace

    
por Erdem Ece 16.09.2015 / 13:10

3 respostas

5

Não é normal que arquivos / pastas extras apareçam na pasta principal do WP. O único local que é considerado gravável está sob wp-content e fácil gravável é uploads , ou seja o que for que seja personalizado para.

Se ele parecer mal-intencionado, se comportar como malicioso, e a ferramenta de segurança achar que ele é malicioso, é uma suposição segura de que é . Ele também pode não ser malicioso em si , mas usado como parte da carga maliciosa para fins de utilitário (código-fonte aberto! :).

    
por Rarst 16.09.2015 / 19:01
4

Parece que é definitivamente um código malicioso disfarçado de arquivo legítimo. No núcleo do WordPress, o arquivo legítimo vive como /wp-admin/includes/class-pclzip.php , portanto, não há necessidade de estar lá como um arquivo separado, os usos legítimos apenas incluiriam essa classe de arquivo principal e não a escreveriam em um diretório em wp-content sem perguntando.

A única outra opção é que ele está sendo escrito lá por um plug-in ou tema que o usa para uploads - mas isso é altamente improvável e um grande risco de segurança, mesmo nesse caso, então qualquer plugin / tema que esteja fazendo isso deveria ser descartado. Upload de scripts como o pior buraco de segurança é mais fácil de explorar. Mas o conteúdo do arquivo deve lhe dar mais pistas - provavelmente será parecido com código de lixo eletrônico.

Se continuar voltando, talvez você queira alterar as permissões no diretório / wp-content / uploader / para que não seja gravável. Mas isso pode ou não ser suficiente, dependendo da complexidade do script que o escreve. Geralmente, há outro arquivo infectado que está reescrevendo esse arquivo quando não é encontrado.

A melhor forma de começar a pesquisar como limpar um site hackeado assim que possível. Comece com uma ferramenta de varredura como maldetect e vá de lá. Pode ser mais seguro e rápido fazer uma reinstalação limpa do WordPress e de todos os plug-ins e temas, além de adicionar mais plug-ins de segurança, pois a vulnerabilidade original ainda é desconhecida.

    
por majick 28.07.2016 / 17:01
1

De acordo com

    
por Krzysztof Grabania 28.07.2016 / 13:44

Tags