Cum descoperiti daca aveti blogul virusat sau nu, cu ajutorul Google Search . (WordPress Virus)
July 3, 2008 · Print This Article
Referitor la ultimul meu post, despre virusul de WordPress care a afectat cred ca peste 50% din blogurile din intreaga lume, incerc sa dau cea mai simpla metoda prin care puteti verfica daca un blog este afectat de acest virus.
Am ales un blog la intamplare, pentru a face aceasta demonstratie. : denisuca.com.
1. Deschideti intr-un browser oarecare, www.google.com si cautati :
site:denisuca.com buy
Observati in imaginea de mai sus, ca Google a indexat denisuca.com, cu o gramada de cuvinte cheie referitoare de niste medicamente. Aceste cuvinte/linkuri sunt invizibile pentru vizitatorii blogului si pentru proprietarul lui, dar vizibile pentru motoarele de cautare : Google, Yahoo, AOL, MSN, Windows Live.
2. Verificati continutul site-ului din memoria cache a Google.
exemplu:
Autohaus Huber, închirieiri auto | Denisuca
25 Feb 2008 … Buy Adderall Buy Adipex Buy Alprazolam Buy Ambien Buy Ativan Buy Biaxin Buy Bontril Buy Bupropion Buy Butalbital Buy Carisoprodol Buy …
denisuca.com/autohaus-huber-inchirieiri-auto.html - 40k - În Cache - Pagini similare
Click pe “In Cache” si se va deschide site-ului, asa cum a fost memorat de Google la o anumita data. In cazul de fata :
Aceasta este varianta din memoria cache G o o g l e a adresei http://denisuca.com/laptopu-meu.html aşa cum a fost recepţionată la 28 Iun 2008 01:18:23 GMT.
Vizualizati site-ul si nu o observati nimic suspect. deocamdata.
3. In partea de sus a paginii, unde este frame-ul de la Goolge Cache, face-ti click pe optiunea care va permite sa vizualitati numai textul depozitat pe site, fara imagini si alte fisiere “media” .
Această pagină depozitată poate oferi referinţe către imagini care nu mai sunt disponibile. Faceţi clic aici pentru textul depozitat.
Click pe linkul “textul depozitat” .
4. Scroll pana in parea de jos a site-ului “footer” si o sa vedeti acolo spam link-urile, rezultate in urma infectarii cu acest virus.
Acele linkuri sunt generate de un cod malitios , aparut in sursa temei de wordpress folosita de blogul denisuca.com si transfera Goolge Page Rank catre site-urile indicate de atacator (backlinks) . Aceasta ar fi cea mai mica paguba produsa (pentru unii) , dar efectele virusului sunt mult mai mari si structura lui este foarte complexa.
Efectele :
- motoarele de cautare, in timp nu vor mai trimite vizitatori catre astfel de bloguri virusate. Inserarea de link-uri ascunse in codul unui site, este considerat SPAM SEO si motoarele de cautare penalizeaza urat de tot, aceasta procedura.
- vizitatorii care nu au cookie pentru site-ul respectiv, sunt redirectionati printr-un alt hack al aceluiasi virus, si catre site-uri alte atacatorilor. Acest lucru este identificat de multi anti-virusi ca fiind Trojan.Clicker.HTML…. (sunt redirectionati si cei care provin din motoarele de cautare si rss readere.)
- modificari ale bazelor de date si exploatarea vulnerabilitatilor de securitate a serverelor (scaderea masiva a performantelor), pentru a servi la aceasta infractiune.
Detalii despre cum cum puteti scapa de acest virus, gasiti aici.
Pentru alte informatii, contactati-ma pe YM si/sau Google Talk . id: laurentiu.piron
LA: Aceasta metoda este eficienta numai in cazul blogurilor care au paginile infectate, indexate in motorul de cautare. Numarul blogurilor infectate, cu siguranta este destul de mare.
 |
« Blogosfera virusata… dar, cu mine ce-ati avut?!
WordPress Exploit – Curatare fisiere virusate, SQL si securizare server. »
metoda asta nu e suficienta. sunt bloguri care par neinfectate, cum ar fi flory.stealthsettings.com. la cautarea cu buy nu pare infectat. fiind pe acelasi server, presupun ca a fost.
In timp este suficienta. Suficient ar fi sa se urmeze pasii din postul anterior.
dude, aveam userul acela, facut la data 00 00 00, dar in rest nu am mai gasit nimic. Cred ca l-am luat din start. Partea proasta e ca eu nu am deschisa inregistrarea de useri, deci cum pizda masii l-a facut?
[...] stealthsettings.com, cu observatii si solutii. del.icio.us [...]
@ Arhi: am toate sursele decriptate ale exploitului pe pc si cum o sa-mi dau seama de unde a pornit si ce vulnerabilitati a exploatat, o sa revin cu detalii. Dupa ce elimini virusul vezi ce fisiere ai cu chmod 777 pe server. Incearca sa reduci numarul acestora. Nu este o masura de protectie 100% sigura dar este folosita de exploit, printre altele.
Merci!
revin.
[...] 1 Blogosfera virusata 1 2 Blogosfera virusata 2 [...]
Interesant. Slava Domnului ca nu am gasit nimic de genul asta la mine… in schimb sunt bloguri din voce virusate…
[...] de aceasta problema iar altii si daca ar realiza poate nu ar avea solutii. Asadar check THIS & THIS out. Poate aveti [...]
Apar codurile se baga doar in header.php, index.php si footer.php sau se pot baga oriunde in tema?
se pot baga in mai multe fisiere. chiar si a temelor care nu au fost folosite niciodata.
Ai idee sa-mi spui cum se numeste fisierul in care sunt scrise numele zilelor si ale lunilor, ca sa stiu sa nu-i dau overwrite, ca l-am modificat
nu cred ca inteleg. daca ai modificat ceva la tema, fa-i devirusarea manuala. cauta codurile puse de exploit.
SSH: grep -ri base64_decode * * $_POST['file'] * *.php
in care vezi scrise fisiere criptate md5 sau base64, sunt virusate. te duci in fisier si sterg liniile.
Nu, nu. Tema am cautat-o de mizerii. E in regula. Dar e prin /wp-admin sau /wp-includes un fisier pe care l-am modifiat mai demult. Fisierul care e responsabil de date. De exemplu am schimbat “July” cu “Iulie”. Si nu vreau sa ii dau overwrite si aluia
habar nu am… dar tot asa poti sa-l gasesti. dai comanda de mai sus si vezi fisierele afectate. ca sa gasesti exact fisierul care contine lunile, da :
grep -ri july * *.php
n-am ssh pe host :|