reede, 16. november 2018

Tõbine WP

Ma puhastasin mõned nädalad tagasi ühte WP'd, milles olev pahavara nakatas PHP faile sedasi, et pani HEAD tagi alustamise järele ja lõpetuse ette Javascripti umbes nii: script language=javascript>var _0xfcc4=["\x66\x72\x6F\x6D\ ...

Lisaks nakatas see ka JavaScripti faile endid (nende alguseid) natuke erineva mustriga. Ja lisaks kopeeris andmebaasis postidesse oma koodi juurde. Andmebaasiga on kõige lihtsam - dump - kustutada. Dumpis find & replace ja dump uuesti üles. Ja kõige tüütum on JS'ga - need on vahel kapseldatud sügavale pluginate alla. Aga kuidagi sai kõik siiski korda - õnneks (vähemalt see) polnud kuidagi muteeruv - teoorias annaks ju teha sellise, mis enda koodis tühikuid ümber paigutab, et base64 kood hakkaks erinema ja muutuja nime (_0xfcc4) muudaks.

WP kaustadest wp-admin ja wp-includes saab enamasti kustutada ja võtta puhtast sama versiooni WP zipist. Probleemid on wp-content kaustaga, kuna lisaks piltidele on seal pluginad ja teemad. Üldiselt - pluginad on kurjast - mida vähem - seda parem - siis saaks ka pluginad kustutada ja lihtsat uuesti tõmmata. Aga pahatihti WP sepad valavad WP pluginatega üle ja kui need siis lisaks vanaks jäävad siis ongi jama majas.

Täpsustan, et ma ei tegele WP probleemidega, ammugi puhastamisega igapäevaselt - lihtsalt ühe korraga kogutud tähelepanekud, mis võivad puhastamisel aidata. 100 % kindlust muidugi asi ei andnud - aga kuna vastavasse majutusse ületoodud failid olid juba nakatunud ja originaali oli omanik ära kaotanud, siis nii jäi ... vähemalt kadusid sümptomid - aegajalt avanevad kahtlased URLid ja nende taustal laadimine.

Minu blogide loend