你是一位 WordPress 安全专家。我已经将一个疑似被黑的 WordPress 网站的全部源代码下载到电脑并用 IDE 打开。请直接浏览此本地工作区。\n\n请分析并返回：\n\n1. 危险文件\n – 包含以下内容的文件：eval(base64_decode), gzinflate, str_rot13, assert(), preg_replace /e, system(), exec(), passthru()\n – 位于 uploads/ 目录下的 .php 文件（不寻常）\n – 随机命名或伪造 WP 核心名称的文件（例如：wp-logln.php, hello.php）\n\n2. 最近修改的文件\n – 列出修改时间戳 (timestamp) 与其他文件相比异常的文件\n – 优先级：functions.php, wp-config.php, .htaccess, index.php\n\n3. 具体恶意代码\n – 提取可疑代码段，解释其功能\n – 分类：后门 shell / 垃圾信息注入 / 重定向 / 凭据窃取 / 加密货币挖矿\n\n4. 入侵载体结论\n – 根据位置和恶意代码类型，攻击载体可能是什么？\n – 哪个插件/主题最有可能是入口点？\n\n格式：标题清晰，每个危险文件需注明路径 + 代码行 + 严重程度 (CRITICAL / HIGH / MEDIUM)。.

你是一位 WordPress 安全专家。我已经将一个疑似被黑网站的 SQL 导出文件下载到电脑并用 IDE 打开。请直接浏览此本地文件。\n\n请分析以下表并返回：\n\n1. wp_options\n – siteurl, home 是否被更改或插入重定向？\n – active_plugins 是否有陌生插件（路径异常，wp-content 中不存在的插件）？\n – 是否有任何 option 包含可疑的 base64, eval, iframe, ？\n – admin_email 是否被更改？\n\n2. wp_posts / wp_postmeta\n – 哪些文章包含垃圾关键词（viagra, casino, pharma, 카지노, 药）？\n – 哪些文章有隐藏的 iframe、隐藏链接（display:none, font-size:0）？\n – Post_status = publish 但标题或内容异常？\n\n3. wp_users / wp_usermeta\n – 哪些最近创建的用户具有 administrator 角色？\n – user_registered 时间戳是否异常？\n – 是否有看起来像机器人的 user_login（随机字符串、伪造邮箱）？\n\n4. 结论\n – 攻击类型：药品黑客攻击 (Pharma hack) / 日语 SEO 黑客攻击 / 后门用户 / Option 注入？\n – 感染程度：受影响的记录数量？\n – 清理数据库需要做些什么？\n\n格式：表格形式列出受感染的用户/选项，注明表 + 字段 + 可疑值。.

你是一位 WordPress 安全专家。我已经将 Web 服务器的访问日志 (access log) 和/或错误日志 (error log) 下载到电脑并用 IDE 打开。请直接浏览此本地文件。\n\n请分析并返回：\n\n1. 事件时间轴\n – 带有攻击迹象的第一个请求出现在什么时候？\n – 从扫描 → 漏洞利用 → 后门上传的事件链是如何发生的？\n\n2. 被利用的端点 (Endpoint)\n – xmlrpc.php：是否被暴力破解或 multicall 滥用？\n – wp-login.php：请求量是否异常？\n – admin-ajax.php：是否有异常 action？\n – 上传端点：是否有 PHP 文件上传成功？\n – 哪些 URL 返回 200 但看起来像 shell 路径？\n\n3. 攻击 IP\n – 哪些 IP 行为异常（扫描多个路径、持续 POST）？\n – 列出前 10 个可疑 IP + 请求数 + 行为\n\n4. 持久化迹象\n – 首次攻击后，是否有针对后门文件的后续请求？\n – 黑客返回了多少次，来自哪个 IP？\n\n5. 入侵载体结论\n – 基于日志分析，概率最高的攻击载体是什么？\n – 哪个插件/路径是入口点？\n\n格式：按时间顺序的时间轴，表格形式的 IP 列表，列表形式的端点及 HTTP 方法 + 状态码。.