在我的共享主机上,license.php 文件会自动在每个域的根文件夹/目录中创建。我多次在任何地方找到并删除此文件。
以下是 GitHub Gist 上该文件的代码:https://gist.github.com/nikunjbhatt/19b3458852077e7619636215039ad4bc
谁能告诉我这个文件是做什么的?
我在服务器访问日志中看到这些:
14.183.74.216 - - [10/Oct/2020:12:43:57 +0000] "HEAD / HTTP/1.1" 200 - "-" "-" blog.techwheels.net 209.99.16.58
14.183.74.216 - - [10/Oct/2020:12:44:06 +0000] "POST /license.php HTTP/1.1" 404 30669 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36" blog.techwheels.net 209.99.16.58
14.183.74.216 - - [10/Oct/2020:12:44:36 +0000] "POST /license.php HTTP/1.1" 200 7503 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36" blog.techwheels.net 209.99.16.58
我从来没有执行过这个文件,但我在错误日志每当收到此文件的请求时,文件:
[10-Oct-2020 12:44:37 UTC] PHP Deprecated: Function create_function() is deprecated in /home/nikunjbh/public_html/TECHWHEELS.NET/BLOG/license.php on line 2
我还看到一些文件夹被自动创建来销售一些产品。下面是一个例子:https://blog.techwheels.net/PS。结帐表单链接到https://tuma.clickfunnels.com/order-form1599992569328#submit-form。在其他类似的文件夹中,为了销售某些东西,有指向同一域名 checkfunnels.com 的结帐页面。其中一个文件夹也包含 .exe 文件。Google Search Console 在另一个 ~8.5 MB 的 GIF 文件中报告了恶意代码。
我在 WordPress 上有 zBench 主题http://zww.me/。并安装了这些插件:
- 高级 noCaptcha 和隐形 Captcha
- ELI 相关文章页脚链接和小部件
- 帖子评分
- Webcraftic 本地 Google Analytics
- WP PHP 小部件(我刚刚将其删除;我用它来插入 Google 翻译代码(以使访问者能够翻译博客文章);现在我正在使用 WordPress 的内置 CustomHTML 小部件添加其代码。)
这些和 phpList 有关系吗?因为我在其他托管账户上安装 phpList 后也看到了类似的恶意代码问题(不完全是 license.php,而是其他代码和文件)。
如何才能永久地摆脱这一切?