How to Remove Wordpress.net.in Spam Injection How to Remove Wordpress.net.in Spam Injection Wie entfernen Wordpress.net.in Spam-Injektion zu entfernen, wie Wordpress.net.in Spam-Injektion

I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in). Ich fand dieses beim Browsen WordPress Support-Forum, einige dieser Opfer aktualisieren ihre default_filters.php und Upload-Klasse-Mail.php innerhalb ihrer WordPress ohne sich dessen bewusst, dass es eine Hintertür (wordpress.net.in). There is no class-mail.php in WordPress except class-phpmailer.php . Es gibt keine Klasse-Mail.php in WordPress, außer Klasse-phpmailer.php. So don’t get confuse by it. Also nicht verwirren von ihr.

Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes. Unten ist eine schnelle Abhilfe, wie Sie entfernt das störende goro spamware Injektion, bevor Sie Google verbannt aus dem Internet-Leitungen.

Workaround Abhilfe

• For temporary disable remote include in php.ini settings. Bei kurzfristigen deaktivieren Fernbedienung in der php.ini Einstellungen.

   ;;;;;;;;;;;;;;;;;; ; Fopen wrappers ; ;;;;;;;;;;;;;;;;;;  ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ;;;;;;;;;;;;;;;;;;; Fopen-Wrapper; ;;;;;;;;;;;;;;;;;;; die Zulässigkeit der Behandlung von URLs (zB http:// oder ftp://) als Dateien. allow_url_fopen = off allow_url_include = off allow_url_fopen = off allow_url_include = off 

• Check your .htaccess for suspicious redirect. Überprüfen Sie die. Htaccess für verdächtige umleiten.
• Find class-mail.php inside “*/wp-includes/” directory and removed it. Finden Sie Klasse-Mail.php inside "* / wp-includes /"-Verzeichnis und entfernt sie.
• Find the following code inside “*/wp-includes/default_filters.php” and removed it Suchen Sie den folgenden Code innerhalb "* / wp-includes/default_filters.php" und entfernt sie

   add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); function wpc7c16<>b8466d864eeefd20050625c7775() { @include(’./wp-includes/class-mail.php’); if(sizeof($wparr)>0){ echo “!div id=\”goro\”!”; foreach($wparr as $k=>$v){ echo ““.ucwords($v[’key’]).”\n”; if($i  ==$inum) break; } echo “!/div!”.$_footer; } } add_action ( 'wp_footer', 'wpc7c16b8466d864eeefd20050625c7775'); Funktion wpc7c16 <> b8466d864eeefd20050625c7775 () (@ include ( '. / wp-includes / class-Mail.php'); if (sizeof ($ wparr)> 0) (echo " ! div id = \ "goro \"! "; foreach ($ wparr as $ k => $ v) (echo" ". ucwords ($ v [ 'key'])." \ n"; if ($ i     = = $ inum) break;) echo "! / div !".$_ footer;)) 

• Robots.txt Exclusion Robots.txt Ausschluss

  Optional - Prevent googlebot from indexing the static spam page. Optional - verhindern, dass Googlebot die Indizierung der statischen Spam-Seite.
  Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”. Melden Sie sich Wordpress Admin-> Verwalten> Dateien> Andere Dateien → Key in "robots.txt". Add the following code. Fügen Sie den folgenden Code.

   User-agent: Googlebot Disallow: /*?* Disallow: /*? User-agent: Googlebot Disallow: / *? * Disallow: / *? 

  Refer robots.txt . Siehe "robots.txt".

Possible WordPress class (suspicious) files that would be tempered Mögliche WordPress Klasse (verdächtig) Dateien, wäre temperierten

Md5 checksum the following files, compare it with official versions from WordPress Release Archive . MD5 Prüfsumme die folgenden Dateien, vergleichen Sie ihn mit offiziellen Versionen von WordPress Presse-Archiv.

• wp-db.php WP-db.php
• gettext.php gettext.php

The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities. Die oben genannten Methoden nur entfernen und behinderte die Spam-Links, es gibt keine Garantie dafür, dass sie geschützt werden Sie von zukünftigen Schwachstellen. Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade . Backup (oder exportieren Sie Ihre Post mit WordPress eXtended RSS-WRX) und führen Sie eine vollständige Aktualisierung.

Dec 13, 2007 Dezember 13, 2007

I just notice this recently. Ich habe gerade vor kurzem diesen Hinweis. You’ll need to check your site HTTP Header. Sie müssen überprüfen Sie Ihre Website HTTP-Header. Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) . Die meisten der entführte Websites nicht Response dank korrekter HTTP-Header (400 <> 500). My guess is they did this to cloak from being crawl by search engine spiders. Meine Vermutung ist, sie tat dies auf Mantel von Crawl-Suchmaschine von Spinnen. If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner . Wenn Sie hatte gereinigt alle infizierten Dateien und Ihren Kopf nicht richtig Antwort bekommen rookit Scanner.

Check your website status header, try cloak your browser (UA) as Search Engine Crawler. Überprüfen Sie Ihre Website-Status-Header, versuchen Sie es mit Ihrem Browser Mantel (UA) als Suchmaschine Crawler. The following screenshot will show you how to setup this at web-sniffer.net. Der folgende Screenshot zeigt Ihnen, wie Sie in diesem Web-sniffer.net.

This methods may not work if the cloaking scripts used IP base tracking. Diese Methoden können nicht funktionieren, wenn die Cloaking Skripte verwendet IP-Tracking-Basis. So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver). Also versuchen Sie es in verschiedenen User-Agent String (dh: inoktomi, askjeeves, ia_archiver).

Firefox Browser Firefox Browser

You can also override your useragent string with firefox ↓. Sie können auch überschreiben Ihre Useragent-String mit Firefox ↓.

about:config → general.useragent.overide = ‘ ua strings ‘ about: config → general.useragent.overide = 'ua strings'

Wordpress.net.in Backdoor Wordpress.net.in Hintertür

Extra info Extra-Info

Dec 14, 2007 Dezember 14, 2007

I did some research at archive.org . Ich habe einige Forschung an archive.org. It seem our wordpress.net.in Seo Spam has been going on since 2005. Es scheinen unsere wordpress.net.in Seo Spam dauert seit 2005. The first variant used file_get_contents() PHP functions to retrieve their sources code (A UTF MAP Decoder 1974 Php Class ). Die erste Variante verwendet file_get_contents () PHP-Funktionen zum Abrufen ihrer Quellen-Code (UTF MAP-Decoder 1974 PHP Klasse).

I also found a signature name alxumuk (at MIT & wordpress.net.in). Ich fand auch eine Unterschrift Name alxumuk (am MIT & wordpress.net.in). His first historic test can be root back at *.media.mit.edu/~? server (I hide the userid as it may be “false positive”). Seine erste historische Test kann Root zurück in *. media.mit.edu / ~? Server (Ich verstecke mich, wie die Benutzer-ID kann es "false positives"). After my first search on google for alxumuk all the results has been scraped out by Google & “Google alert” so there is no references to this query in Google Index. Nach meiner ersten Suche auf Google für alxumuk alle Ergebnisse wurde ausgeschabt, die von Google & "Google Alert", so gibt es keine Hinweise auf diese Abfrage in der Google-Index.

My query for file_get_contents include require allintext:1974.* (the UTF decode package) and the signature (alxumuk) will return 403 Forbidden . Meine Anfrage zu file_get_contents gehören erfordern allintext: 1974 .* (UTF dekodieren Paket) und die Unterschrift (alxumuk) 403 Rückkehr verboten.

As Google Advanced Search blocked “the query” this may confirm that 1974.* (UTF decode) is probably the package for reading the bootstrap for wordpress.net.in backdoor (similar case like perl.santy net worm). Wie Google Erweiterte Suche blockiert "Anfrage" kann dies bestätigen, dass 1974 .* (UTF-dekodieren) ist wahrscheinlich das Paket für das Lesen der Bootstrap für wordpress.net.in Hintertür (ähnlicher Fall wie perl.santy Netto-Wurm).

If this is a true Net Worm, I suggest anyone with older versions of Wordpress should removed\ the meta generator tag (Wordpress versions) and disabled XML-RPC(& RSD) for hardening wordpress from remote vectors vulnerabilities. Wenn es sich um eine echte Netto-Wurm, schlage ich vor, dass jemand mit älteren Versionen von WordPress sollten entfernt \ die Meta-Tag Generator (WordPress-Versionen) und behinderte XML-RPC (& RSD) für die Aushärtung wordpress von Remote-Vektoren Schwachstellen.

Wordpress.net.in Doorway Wordpress.net.in Portal

Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ Dezember 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/

Backdoor Files Hintertür Dateien

inside wp-includes directory. Insider-wp-includes-Verzeichnis.

• compat.php - (replace with latest version) compat.php - (ersetzen Sie mit den neuesten Fassung)
• class-mail.php delete Klasse-Mail.php löschen

scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins . Scan & Hintertür entfernt alle Dateien, und erstellen Sie eine. htaccess-Dateien innerhalb des wp-includes & wp-content/plugins. Then add the following code to disabled directory listing (prevent informations leak & Directory search index). Dann fügen Sie den folgenden Code für behinderte Verzeichnisliste (verhindern, dass Informationen Leck & Directory-Suchindex).

 Options -Indexes Options-Indexes 

Wordpress.net.in New Partner Wordpress.net.in neuer Partner

Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 23. Februar 2008 fanden wir eine ähnliche Signatur wie wordpress.net.in in qwetro.com (Deutschland). Probably from the same attacker with different agenda. Vermutlich aus dem gleichen Angreifer mit unterschiedlichen Tagesordnung.

Related Posts Verwandte Beiträge

• Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) Bluehost HostMonster CEO's Blog gehackt (wordpress.net.in)
• Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II Matt Heaton bluehost Hostmonster CEO's wieder gehackt - Strike II

External Links Externe Links

• Websniffer View HTTP Request and Response Header Websniffer anzeigen HTTP-Request-und Response-Header
• Wordpress Support Forum Wordpress Support-Forum
• National Vulnerability Database Wordpress 2.0 > 2.0.6 National Vulnerability Database Wordpress 2,0> 2.0.6

Short URL Kurz-URL

Bookmarks Lesezeichen

• Share This Weitersagen