¿Qué es el archivo pclzip.lib.php que la fuente de la palabra cree que es un código malicioso?

2

He comprobado wordpress original y este archivo no está allí, pero este archivo vuelve cada vez que lo borro. ¿Crees que es un script malicioso?

Ruta: /wp-admin/uploader/pclzip.lib.php Código: enlace

    
pregunta Erdem Ece 16.09.2015 - 13:10

3 respuestas

5

No es normal que aparezcan archivos / carpetas adicionales en la carpeta central de WP. La única ubicación que se considera escribible está en wp-content y fácilmente se puede escribir en uploads , o lo que sea que estén personalizados.

Si parece malicioso, se comporta de forma maliciosa y la herramienta de seguridad cree que es malintencionada, es una suposición segura de que es . También puede que no sea malicioso en sí mismo , pero que se use como parte de la carga útil maliciosa para fines de utilidad (¡código abierto! :).

    
respondido por el Rarst 16.09.2015 - 19:01
4

Parece que definitivamente es un código malicioso que se hace pasar por un archivo legítimo. En el núcleo de WordPress, el archivo legítimo vive como /wp-admin/includes/class-pclzip.php , por lo que no es necesario que esté allí como un archivo separado, los usos legítimos solo incluirían esta clase de archivo principal y no usarlo en un directorio en wp-content sin preguntando.

La única otra opción es que esté siendo escrito allí por un complemento o tema que lo use para las subidas, pero eso es altamente improbable y un gran riesgo de seguridad incluso en ese caso, por lo que cualquier complemento o tema que haga eso debería ser abandonado. Los scripts de carga como el peor agujero de seguridad son los más fáciles de explotar. Pero el contenido del archivo debería darte más pistas, probablemente se verá como un código basura.

Si sigue regresando, es posible que desee cambiar los permisos en el directorio / wp-content / uploader / para que no se pueda escribir. Pero eso puede o no ser suficiente, dependiendo de la complejidad del script que lo escribe. Por lo general, hay otro archivo infectado que está reescribiendo este archivo cuando no se encuentra.

Lo mejor para comenzar a investigar cómo limpiar un sitio pirateado lo antes posible. Comience con una herramienta de escaneo como maldetect y vaya desde allí. Puede ser más seguro y rápido ir con una reinstalación limpia de WordPress y todos los complementos y temas, y agregar más complementos de seguridad porque la vulnerabilidad original aún se desconoce.

    
respondido por el majick 28.07.2016 - 17:01
1

Según this post , parece que este archivo es un archivo de copia de seguridad. ¿Está utilizando algún complemento para copias de seguridad, por ejemplo, Backup Creator o WordPress Copia de seguridad por BTE?

    
respondido por el Krzysztof Grabania 28.07.2016 - 13:44

Lea otras preguntas en las etiquetas