Virus Blogosfera ... ali ja sam imao to?!

U posljednjih mjesec dana, dobio sam upozorenja Virus blog u nekim posjetitelja. U početku sam ignorirao upozorenja, jer sam instalirao prilično dobar antivirus (Kaspersky AV 2009) I iako je blog za dugo vremena, nikada nisam dobio virus upozorenje (.. Vidjela sam nešto sumnjivo ranije da prvi refresh nestali. Konačno ...).
Polako je počeo da se pojave velike varijacije prometa posjetiteljaNakon što je pao promet u zadnje vrijeme stalno i počeo se sve više i više ljudi koji mi kažu da stealthsettings.com to je virused. Jučer sam dobio od nekoga screenshot učinjeno kada je antivirusni blokirani rukopis stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. To je bio prilično uvjerljiv na mene, da sam mu sve izvore tražili. Prva ideja da je palo na pamet bila je učiniti nadogradnja najnovije WordPress (2.5.1), ali ne prije nego što stara skripta izbrisati sve datoteke WordPress i učiniti backup baze podataka. Ovaj postupak je bio neuspješan i vjerojatno su se dugo vremena za shvatiti Sema gdje se kuhati, da li bih ja rekao u razgovoru uz kavu, on je pronašao Google, a bilo bi dobro da ga vidi.
MyDigitalLife.info, objavljen je članak pod naslovom: "WordPress Hack: Obnova i popraviti Google i tražilice ili Ne Cookie prometa preusmjeren na vaš-Needs.info, AnyResults.Net, Golden-Info.net i drugim nezakonitim stranice"To je kraj nit mi je trebalo.
Riječ je o iskorištavati WordPress na temelju kolačića, Što mislim da je vrlo složen i napravio knjigu. Dovoljno pametan da bi SQL Injection Baza podataka o blogu, stvoriti nevidljivi korisnik jednostavna rutinska provjera kontrolna ploča->korisnici, provjeriti poslužitelja direktorija i datoteka "writable" (S chmod 777), tražiti i izvršiti datoteke s privilegijama root korisnika ili skupine. Ne znam koji iskorištavaju ime i vidjeti da postoji nekoliko članaka o njemu pisano, unatoč činjenici da su mnogi blogovi zaraženi, uključujući i Rumunjsku. Ok ... Pokušat ću pokušati objasniti općenitosti o virusu.

Što je virus?

Prvo, ubacite stranice izvor za blogove, nevidljive veze s posjetiteljima, ali vidljiv i indeksira za tražilice, posebno Google. Ovako prijenos stranicu rang stanice označene napadača. Drugo, umetnuta preusmjeravanje broj URL za posjetitelje koji dolaze iz Googlea, Live, Yahoo, ... ili RSS čitač, a ne stranica kolačić. antivirusni detektira kao preusmjeravanje Trojan-Clicker.HTML.

Simptomi:

Masivni pad prometa posjetitelja, Pogotovo na blogovima, gdje je većina posjetitelja dolaze iz Googlea.

Identifikacija: (Stoga je postao problem za one koji ne znaju kako phpMyAdmin, PHP i Linux)

LA. POZOR! Prvo napraviti backup baze podataka!

1. Provjerite datoteke izvornog index.php, header.php, footer.php, Blog temu i vidjeti postoji li kod koji koristi enkripciju base64 ili sadrži "if ($ ser ==" 1 && sizeof ($ _COOKIE) == 0?) "oblik:

<? Php
$ Seref = array ("google", "msn", "živjeti", "AltaVista"
"Pitaj", "Yahoo", "AOL", "CNN", "vrijeme", "Alexa");
Ser = $ 0; foreach ($ $ Seref kao sudac)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), sudac $) == false) {$ ser = "1;? Break;}!
if ($ ser == "1 && sizeof ($ _COOKIE) == 0?) {header (" Location: ". base64_decode (" "). 'http:// YW55cmVzdWx0cy5uZXQ = /') izlaz;
}>

Ili ... nešto. Izbriši ovaj kod!

Kliknite na sliku ...

Indeks broj

U slici iznad sam odabrana zabunom i "<PHP get_header ();?>". Taj broj bi trebao ostati.

2. Koristiti phpMyAdmin i otići na tablici baze podataka wp_usersGdje provjeriti ako nema korisničko ime stvorio na 00:00:00 0000-00-00 (Mogući prostor user_login napisati "WordPress". Napišite ovaj korisnički ID (ID polja), a zatim ga izbrisati.

Kliknite na sliku ...

lažni korisnik

* Zelena linija trebala biti uklonjena i zadržao svoju iskaznicu. U slučaju Je ID = 8 .

3. Idi na tablici wp_usermeta, Gdje se Smješten i brisanje linije za ID (gdje se polje user_id ID vrijednost se brišu).

4. U tablici wp_optionIdi active_plugins i vidjeti što plugin omogućen osumnjičenog. To se može koristiti kao završetaka _old.giff, _old.pngg, _old.jpeg, _new.php.giffItd Extensions kombinacije s _old i _new lažna slika.

SELECT * FROM wp_options GDJE option_name = 'active_plugins'

Izbriši ovaj dodatak, a zatim otići na blogu -> Upravljačka ploča -> Plugins, koji deaktivacije i aktivirati određeni plugin.

Kliknite na sliku kako bi vidjeli što se čini active_plugins virus datoteku.

uključiti

Slijedite put na FTP ili SSH, navedeno je u active_plugins i brisanje datoteke s poslužitelja.

5. Sve u phpMyAdmin, u tablici wp_option, Pronaći i izbrisati redak koji sadrži "rss_f541b3abd05e7962fcab37737f40fad8"I među"internal_links_cache ".
U internal_links_cache su šifrirane spam linkove koji se pojavljuju na svoj blog i Google Adsense code, Haker.

6. Preporučio je da se promijenite lozinku Blog i prijava Izbaci sve sumnjive userele. Upgrade na najnoviju verziju WordPress i postaviti blog ne dopustiti registraciju novih korisnika. Nema gubitka ... ne mogu komentirati i nelogično.

Pokušao sam objasniti nešto gore, što učiniti u takvoj situaciji za čišćenje ovaj virus blog. Problem je ozbiljniji nego što se čini i teško riješiti, da se koriste sigurnosnih propusta web poslužitelj hosting, što je blog.

Kao prve mjere sigurnosti, s pristupom SSH, Napraviti neke provjere na server da vidi je li sve datoteke kao što su * _old * i * _new. * S završetaka.giff,. jpeg,. pngg,. jpgg. Ove datoteke trebaju biti izbrisani. Ako ste preimenovati datoteku, primjerice. top_right_old.giff in top_right_old.phpVidimo da je točno file server exploit koda.

Neke korisne naznake provjere, čišćenja i sigurnosti poslužitelja. (Preko SSH)

1. cd / tmp i provjeriti da li postoje mape poput tmpVFlma ili druge kombinacije ima isto ime i izbrisati. Pogledajte screenshot dolje, dvije takve mape od mene:

tmpserver

rm-rf nazivmape

2. Provjerite elimiati (chmod promjene) kao mogući mapa atribute chmod 777

pronaći sve writable datoteke u trenutnoj dir: Pronađite. Tip-f-Perm-2-LS
pronaći sve writable direktorija u tekuće dir: Pronađite. Tip-d-Perm-2-LS
pronaći sve writable direktorije i datoteke u trenutnoj dir: Pronađite. -Perm-2-LS

3. U potrazi za sumnjive datoteke na poslužitelju.

Pronađite. -Naziv "* _new.php *"
Pronađite. -Naziv "* _old.php *"
Pronađite. -Ime "*. Jpgg"
Pronađite. -Naziv "* _giff"
Pronađite. -Naziv "* _pngg"

4, POZOR! datoteke koje su postavljene malo SUID si SGID. Ove datoteke izvršavanje s privilegijama korisnika (skupina) ili korijena, a ne korisnika koji izvrši datoteku. Te datoteke mogu dovesti do korijena kompromisa, ako je sigurnosna pitanja. Ako koristite datoteke s Suid i SGID bita, radi 'chmod 0 " ili deinstalirati paket ih sadrži.

Iskoristiti sadrži negdje u izvor ...:

if (! $ safe_mode) {
if ($ os_type == 'nix') {
$ Os = Izvrši ('sysctl-n kern.ostype').;
$ Os = Izvrši ('sysctl-n kern.osrelease').;
$ Os = Izvrši ('sysctl-n kernel.ostype').;
$ Os = Izvrši ('sysctl-n kernel.osrelease').;
ako (prazna ($ user)) $ user = izvršavati ('id');
$ Nadimci = array (
"=>",
'Pronađi suid files' => 'pronaći / tipa F-Perm-04000-ls ",
'Pronađi SGID datoteke' => 'nalaze / tipa F-Perm-02000-Jel',
"Nađi sve writable datoteke u trenutnoj dir '=>' nalaze. Tip-f-Perm-2-Jel ',
"Nađi sve writable direktorija u tekuće dir '=>' nalaze. Tip-d-Perm-2-LS ",
"Nađi sve writable direktorije i datoteke u trenutnoj dir '=>' nalaze. -Perm-2-Jel ',
'Pokaži otvorila porta' => 'netstat-| grep-i slušati',
);
} Else {
. $ Os_name = Izvrši ("ver");
Korisnik $ = Izvrši ('echo% username%').;
$ Nadimci = array (
"=>",
"Pokaži runing usluge '=>' net start '
'Show proces popisa' => 'Tasklist'
);
}

Na ovaj način ... zapravo pronalazi povrede u sigurnosti. Luke otvaranje imenika "writable" i grupa ovršni povlastice datoteke / root.

Povratak s više ...

Neki blogovi zaražene: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... Popis ide na ... puno.

Možete provjeriti je li blog je virus, koristeći Google tražilicu. kopirati i zalijepiti:

stranica www.blegoo.com buy

Laku noć i povećati raditi ;) Uskoro ću se s promjenama na Eugena prevezibil.imprevizibil.com.

BRB :)

TO: POZOR! Promjena WordPress teme ili nadograditi na WordPress 2.5.1, nije rješenje da biste dobili osloboditi od ovaj virus.

Virus Blogosfera ... ali ja sam imao to?!

O autoru

potajno

Strastveni o svemu što gadget i pisati rado stealthsettings.com od 2006 i volim otkrivati ​​nove stvari s vama o računalima i MacOS, Linux, Windows, iOS i Android.

Ostavite komentar

Ova web stranica koristi Akismet za smanjenje neželjene pošte. Saznajte kako se podaci vašeg komentara obrađuju.