关于一段 php 恶意脚本

女票的网站打开很慢,以前一直觉得这是从腾讯云花 1 块钱买的,慢是理所当然的。现在毕业了,享受不到每月 1 块钱的学生优惠政策,得全额付款,就觉得怎么会那么慢呢!不能接受,所以我就得帮忙看一下。

网站慢,我们能感觉得到,但是怎么入手呢?

首先从查看请求开始。

ttfb
ttfb

在没有修复这个问题前,ttfb 的时间达到了 10 多秒,那么什么是 ttfb 呢?谷歌对此有解释:

  • Waiting (TTFB). The browser is waiting for the first byte of a response. TTFB stands for Time To First Byte. This timing includes 1 round trip of latency and the time the server took to prepare the response.

就是浏览器收到第一个字节的时间。这很明显,是我的服务器慢,我怀疑是 php 或者 MySQL 的问题,所以我昨晚还下载了 wp super cache 来将 wordpress 站点静态化,但是依然很慢。

在这个服务器上还运行了其它站点,比如小阁,那么也不是 php 或者 MySQL 的问题,所以我怀疑是哪个 wordpress 插件的问题,就这样找到了那个恶意的 php 代码。

那么我们先来看看这个脚本是啥?点击这里下载:bad

恶意代码
恶意代码

下载 wordfence 来扫描一下

修复其余的相似的问题。

  • Filename: wp-content/plugins/index.php
  • File Type: Not a core, theme, or plugin file from wordpress.org.
  • Details: This file appears to be installed or modified by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The text we found in this file that matches a known malicious file is: explode(chr((294-250)),’4249,60,5021,51,5712,44,5778,65,2423,49,191,37,4122,50,3825,24,5687,25,2672,43,3369,69,1219,44,1480,42,5165,48,3303,66,. The infection type is: A backdoor known as eawtliul.

为什么会导致慢?

这个话题我们下次再说。

参考链

https://developers.google.com/web/tools/chrome-devtools/network-performance/reference#timing-explanation

曾小乱

作者: 曾小乱

喜欢写点有意思的东西

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.