تحذير! هجوم فيروس مجهول على WordPress 4.8

   لقد تم مهاجمة برنامج ضار جديد بواسطة WordPress 4.8 لم تتضح بعد طبيعة الهجوم بالضبط ، ولكن من الجيد أن نعرف أن المهاجم الذي يقف وراء الهجوم يهاجم عناوين IP المختلفة ، وكنتيجة لإعادته إلى وطنه ، يغير مصدر الهجوم باستمرار.

يوجد حاليًا سلوكان لهذا الفيروس: 

1. أرسل مصادقة المستخدم / المستخدمين الذين قاموا بتسجيل الدخول إلى الوجهة بعيدًا. 

 ضخ الرمز في ملفات wp-tmp.php و wp-feed.php للبيع أو التعدين.

إذا كنت مصابًا ، 

فقم بما يلي لإزالة الفيروس أعلاه: 1. احذف جميع مثيلات ملف wp-vcd.php. 

ملاحظة: من المحتمل أن يكون هذا الملف موجودًا في مسار ../wp- يتضمن ، ولكن إذا تم عرضه في مكان آخر ، فسيتم حذفه. 

 يشير أول سطرين في ملف post.php إلى هذا الملف. قطعهم. 

 يبدو أن جذر هذا الهجوم يستخدم السمة أو المكون الإضافي. إذا لم يتم استبدالك بملفات function.php الأصلية ، فلا تقم بتغييرها. وإذا لم تصاب مرة أخرى. 

 إذا وجدت على موقع Bohemian Advertising ، فحذف أيضًا ملفات wp-tmp.php و wp-feed.php.هذان الملفان في مسار ../wp- يتضمن. 

. لمزيد من الثقة ، قم بتغيير رموز الترتيب الثاني

نصيحة 1: ما إذا كان الفيروس قد اخترق الإصدار 4.8 لا يعني أن الإصدارات الأدنى أو الأعلى غير معرضة للخطر. لذلك كن حذرا واستخدام واحد على الأقل جيد WAF. 

نصيحة 2: خذ استيلاء خطير ولديك خطة احتياطية قوية. تحقق ظهرك بشكل دوري حتى يدك في معصميك!

نصيحة 3: ملف wp-vcd.php الذي تم حقنه بسلسلة طويلة مشفرة base64 يسمى $ install_code.

$ install_code = 'c18615a1ef0e1cd813b388b4b6e29bcdc18615a1ef0e1cd813b388b4b6e29bcd [... Blah blah blah ..] $ install_hash = md5 ($ _ SERVER [' HTTP_HOST '] AUTH_SALT)؛ $ install_code = str_replace ('{$ PASSWORD}' ، $ install_hash ، base64_decode ($ install_code)) ؛.