Bejárat > PHP, Vírusok > WordPress fertőzőtt php fájl .cache mappával

WordPress fertőzőtt php fájl .cache mappával

A minap találkoztam egy trójai vírussal a vírusírtó szerint JS/Kryptik.HI. A trükkje az volt, hogy megnyitottam az oldalt, aktiválta a vírust. (Hogy mit csinált, arra 100% nem jöttem rá mert a vírussító(avast) blokkolta.) Majd pedig egy .cache mappába logolta az IP címemet, és így a következő oldal letöltésnél minden ment tovább. Ez a vírus tipikusan WordPress-re specializálódott (szerintem), mert voltak más weboldalak is a tárhelyen, de azokkal nem foglalkozott.

Ismertető jegyei:

.cache mappa – rejtett mappa, ebben pedig fájlok az alábbi névvel: dátum pl: 120207. Illetve tmp_dátum pl: tmp_120206

.cache mappában lévő fájlokban IP címek.

a wp_head funkcióval írja ki azt a javascript-et amellyel meghív egy .cgi kiterjesztésű fájlt: cdn.myar.co.in/in.cgi

Közvetlenül a wp_head() elejére írja ki.

Fertőzött fájlok:

3 különböző wordpressnél 3 különböző fertőzött php fájl:

wp-includes/plugin.php

wp-includes/theme.php

wp-includes/feed.php

Felderítés:

Állítsuk írásvédettre a .cache/tmp_{datum} illetve a .cache/{datum} fájlokat. Vagy az egész könyvtárat, ahogy könnyebb. Ez után nyissuk meg újra a weboldalt.

A php error logban írni fogja, hogy nem sikerült megnyitni a fájlt, és onnan visszalehet követni a php-fájlt.

 

Categories: PHP, Vírusok Tags: , ,
  1. Még nincs hozzászólás
  1. április 24th, 2012 14:16-nél | #1