web-dev-qa-db-fra.com

Fichier inconnu créé automatiquement sur le dossier racine

Je ne suis pas sûr que ce soit le bon endroit pour poser une telle question. Un de mes sites Web a des logiciels malveillants. Il est hébergé sur un serveur 1 & 1 et le site web est développé sous WordPress 3.3.1 (désormais mis à niveau vers la version 3.5). Quelques choses que j'ai remarquées sont:

  1. Un fichier nommé 1278bd2dc5f89296044af950a96cd9d0 créé automatiquement dans le répertoire racine public. Si je le supprime, il réapparaîtra dans quelques minutes.
  2. Ce fichier a une adresse IP séparée par un signe de tuyau. Toutes les quelques minutes, une nouvelle adresse IP est ajoutée à la liste.
  3. Initialement, il écrase également les fichiers index.php et wp-admin/admin.php avec des autorisations inférieures. Je ne pouvais pas voir ce que les ont mais je ne pouvais que les supprimer.
  4. Je SSHed au serveur et vois qu'il n'y a aucun processus inconnu en cours d'exécution.
  5. J'ai un seul utilisateur FTP. dont j'ai changé le mot de passe il y a un moment.

Quelqu'un peut-il me dire? Quoi et où devrais-je vérifier pour arrêter cela? C'est peut-être un processus à distance, mais comment le retrouver?

Le contenu en ce moment est:

157.55.32.83 | 199.21.99.106 | 173.255.233.124 |

wordpressmalware
3
FatalError

Enfin, j'ai trouvé que peu de fichiers index.php avaient du code eval qui créait et enregistrait les adresses IP des visiteurs. Si quelqu'un se retrouve dans la même situation, je recommande de suivre le flux suivant.

  1. Recherchez l'une des chaînes suivantes dans l'ensemble de votre site Web.

    • eval (base64_decode
    • eval (gzinflate
    • eval (gzuncompress
    • tout ce qui précède avec "echo" au lieu de "eval".

  2. Si l'étape 1 ne fonctionne pas, essayez une recherche plus générale.

    • eval
    • base64_encode
    • str_rot13
    • edoced_46esab
    • gzinflate
    • gzuncompress

  3. Très probablement, les résultats que vous obtiendrez contiendront à la fois des bons et des mauvais codes. vous devrez alors identifier lequel des deux est mauvais.

  4. Recherchez le code qui est indépendant, non lisible, peut être un liner
  5. Supprimer toutes les occurrences de ce code.
  6. Recherchez à nouveau le code similaire pour vous assurer que votre site est maintenant propre.
  7. Supprimer les fichiers générés par le code.

Vous pouvez utiliser le thisscript pour voir ce que fait ce code sale

0
FatalError
  1. Marquez votre site web comme temporairement indisponible.
  2. Revenez à une sauvegarde précédente (vous devriez avoir des sauvegardes de 1 & 1) pour vous assurer que vous n'étiez pas infecté et que vous ne perdiez pas trop de données.
  3. Mettez à niveau vers le dernier WP (à nouveau).
  4. Mettez à niveau tous les plugins et supprimez les plugins inutiles.
  5. Allez encore en ligne.
2
CSᵠ

essayez ceci WP plugin http://www.wordfence.com/ , mais un peu tard, il peut analyser vos fichiers WP et vous recommander des correctifs. J'ai également réparé le mien manuellement et laissé Wordfence continuer à fonctionner.

0
Abhishek Dujari