Eugeni's blog » security http://dodonov.net/blog My view on technology, open-source, Linux and other cool things. Mon, 30 Apr 2012 23:30:18 +0000 en hourly 1 http://wordpress.org/?v= WordPress exploits http://dodonov.net/blog/2008/11/17/wordpress-exploits/ http://dodonov.net/blog/2008/11/17/wordpress-exploits/#comments Mon, 17 Nov 2008 15:55:14 +0000 eugeni http://dodonov.net/blog/?p=195 [...]]]> Depois de um longo tempo, descobri onde que residem os exploits do wordpress. De maneira similar aos viruses dos anos 80/90, eles infectam alguns arquivos .php com o seu código (que é obfuscado, criptografado e compactado diversas vezes – o recorde que eu vi foi de 11 vezes!!).

Geralmente, se você encontrar um código similar a esse:

eval(gzinflate(base64_decode('FJ3HcqPsFkUf53YVA3IakoPIGSa3yCByDk//y5MeuO2yxXfO3mvZEirPtP9Xv...

você foi infectado.

Para descobrir todos os arquivos infectados, o seguinte comando é suficiente:

find . -type f -iname '*.php' -exec grep -q -i 'eval(gz' {} \; -print

Depois é melhor ir vendo um-por-um esses arquivos.

Esse código tem dentro de sim um exploit muito bem feito. Uma boa descrição dele pode ser vista aqui

Agora espero que resolvi esse problema definitivamente.

]]> http://dodonov.net/blog/2008/11/17/wordpress-exploits/feed/ 0