Złośliwy kod WordPress

Witam wszystkich,

mam problem ze swoim WordPressem. Został schowany złośliwy kod: tutaj link

https://www.unphp.net/decode/c7f6c542d0f884f34b32f4cac5648acb/

https://www.unphp.net/decode/c7f6c542d0f884f34b32f4cac5648acb/
Kod nadpisuje wszystkie pliki .htaccess może zmieniać uprawnienia plików

Kod nadpisany w plikach .htaccess

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(index.php|lock360.php|wp-l0gin.php|wp-the1me.php|wp-scr1pts.php|wp-admin.php|radio.php|content.php|about.php|wp-login.php|admin.php|mah.php|jp.php|ext.php)$">
Order allow,deny
Allow from all
</FilesMatch>

Dodatkowo w plikach index.php wpisuje treść, która jest w załączonym pliku

https://www.unphp.net/decode/c7f6c542d0f884f34b32f4cac5648acb/

Może ktoś wie jak znaleźć gdzie jest kod źródłowy, który powoduje takie rzeczy.

Będę wdzięczny za sugestię.

Zacząłbym od przejrzenia listy wtyczek / motywów / użytkowników (po awarii mogło pojawić się jakieś dodatkowe konto) i skasowałbym nieaktywne rzeczy, lub takie do których nie masz pewności skąd się wzięło.

Brak innych użytkowników wtyczki przejrzałem motywy również to jest złośliwy kod wgrany w jakieś inne pliki. W tym kodzie źródłowym który przesłałem musi być to ukryte tylko nie umiem tego rozbroić i znaleźć czegoś co pomoże mi zlokalizować źródło.

Pewnie nawet jak znajdziesz źródło tego pliku to i tak przyda się reinstalacja WordPressa na wszelki wypadek.

Nie wiem, czy istnieje automat, ale jeśli jesteś ciekawy co ten skrypt robi to można bez problemu odkodować go ręcznie, wystarczy znajomość var_dump :D.

$O_OO0O0_0_=urldecode("%6f%41%2d%62%4e%6e%4b%37%4c%35%5f%4a%55%74%52%78%49%59%2b%57%43%61%39%33%56%6b%30%77%4d%31%4f%65%53%44%64%42%32%6a%2f%6c%73%58%66%71%70%68%6d%2a%54%47%76%51%48%72%50%79%63%5c%34%7a%75%46%36%69%5a%67%38%45");

po odpaleniu daje taki wynik

$O_OO0O0_0_ = "oA-bNnK7L5_JUtRxIY+WCa93Vk0wM1OeSDdB2j/lsXfqphm*TGvQHrPyc\4zuF6iZg8E";

Później jest łączenie wartości w nazwy funkcji, żeby je wywołać jako string

$O000OO___O = "stream_context_create";
$O0O_0_O_0O = "preg_replace_callback";
$OO00_0OO__ = "stream_socket_client";
$O0OOO00___ = "stream_get_meta_data";
$O_0_OO_0O0 = "stream_set_blocking";
/// ...

Po "rozszyfrowaniu" nazw metod, musimy podmienić nazwy zmiennych na bardziej czytelne

$O000OO___O -> $stream_context_create
$O0O_0_O_0O -> $preg_replace_callback
// ...

i wszystko powtarzamy, aż do skutku

Możliwe że używasz TC do połączeń z serwerem - przestań, usuń. To najczęstsza przyczyna wycieku danych logowań do serwerów. Wiem - bo znajomy webmaster rozwalił tak sobie kiedyś wszystkie strony klientów XD, a używał TC jako klient FTP

Zainstaluj WordFence, przeskanuj, wywal znalezione problemy, postaraj się odbudować pluginy od nowa.