Matt Heaton BlueHost HostMonster CEO Official Blog Hacked マットヒートンbluehostハッキングhostmonster社長の公式ブログ

Dec 11 2007 - Matt Heaton Blog’s has been cleansed. 2007年12月11日 -マットヒートンのb logの浄化されています。 ATM he’s using latest version of WordPress (2.3.x).彼の最新バージョンを使用してATMのWordPressの（ 2.3 ） 。 And also most of the blogs lists in this articles has been upgrade.ほとんどのブログもこの記事をリストにアップグレードされています。

Jan 26th, 2008 - Seem like bluehost engineer did a bad job at cleaning, the goro spam is back . 2008年1月26日 -b luehostエンジニアのように思えるが悪い仕事を参考クリーニングは、吾郎マークが先頭です。

Just after the recent issue on wordpress.com.cn now there is new wordpress imitater.直後に、最近の問題をwordpress.com.cn今すぐには新しいWordPressのimitaterです。 A remote spamware injection by wordpress.net.in注射され、リモートスパムウェアwordpress.net.in

I was reading one of Matt Heaton posted 2 days ago when I found bunch of spamsware link on his wordpress footer .私は読書の1つのマット ヒートン 投稿2日前に大勢のspamswareリンクを見つけた彼のWordPressのフッターです。

Matt’s is using default wodpress theme (kubrick) with single javascript for adsense. wodpressのマットを使用してデフォルトのテーマ（キューブリック）を1つのJavaScriptをadsenseにアクセスします。 The only way the spams can get in is probably via php injection or by manual editing.のスパムを取得する唯一の方法では、おそらく経由でPHPの注射液または手動で編集されています。 All the spamware is redirect to howardowens.com/?order=XX page.すべてのスパムウェアがリダイレクトされるhowardowens.com /ですか？注文=イグゼクスページをご覧ください。

Lookup for howardowens.comルックアップをhowardowens.com

The below diagram explained the lookup results for howardowens.com . click on the image to enlarge.は、下記の図のルックアップ結果を説明してhowardowens.com 。 をクリックして画像を拡大表示する。

Surprisingly the spammer website is also host by bluehost.com (69.89.16.0/20,74.220.192.0/19 ,69.89.16.4 -> box183.bluehost.com).驚くほどのspammerのウェブサイトでもホストされbluehost.com （ 69.89.16.0/20 、 74.220.192.0/19 、 69.89.16.4 -> b ox183.bluehost.com） 。

Tracking the spam sources.追跡して迷惑メールのソースです。

Raw whois for wordpress.net.in生のwhoisをwordpress.net.in

 Domain ID:D2500581-AFIN Domain Name:WORDPRESS.NET.IN Created On:22-Apr-2007 12:01:55 UTC Last Updated On:22-Jun-2007 02:26:40 UTC Expiration Date:22-Apr-2008 12:01:55 UTC Sponsoring Registrar:Direct Information Pvt.ドメイン番号： d2500581 - afinドメイン名： wordpress.net.in :22 - 04月- 2007で作成された最終更新日は午前12時01分55秒UTCに:22 - 06月- 2007 2時26分40秒UTCに有効期限:22 - 04月- 2008年12時01分55秒UTCにスポンサー登録：直接情報Pvt 。 Ltd 。 Ltd. dba PublicDomainRegistry.com (R5-AFIN) Status:OK Registrant ID:DI_4275224 Registrant Name:Mick Jagger Registrant Organization:N/A Registrant Street1:1 Red Square Registrant City:Moscow Registrant State/Province:Massachusetts Registrant Postal Code:123592 Registrant Country:RU Registrant Phone: 007.7581235641 Registrant Email:mkk.goro@bk.ru Admin ID:DI_4275224 Admin Name:Mick Jagger Admin Organization:N/A Admin Street1:1 Red Square Admin City:Moscow Admin State/Province:Massachusetts Admin Postal Code:123592 Admin Country:RU Admin Phone: 007.7581235641 Admin Email:mkk.goro@bk.ru Tech ID:DI_4275224 Tech Name:Mick Jagger Tech Organization:N/A Tech Street1:1 Red Square Tech City:Moscow Tech State/Province:Massachusetts Tech Postal Code:123592 Tech Country:RU Tech Phone: 007.7581235641 Tech Email:mkk.goro@bk.ru Name Server:MKKG98981.MERCURY.ORDERBOX-DNS.COM Name Server:MKKG98981.VENUS.ORDERBOX-DNS.COM Name Server:MKKG98981.EARTH.ORDERBOX-DNS.COM Name Server:MKKG98981.MARS.ORDERBOX-DNS.COM株式会社DBAのpublicdomainregistry.com （ R5の- afin ）ステータス： OK登録番号： di_4275224登録者名：ミックジャガー登録団体名： n /登録street1 ： 1赤の広場登録都市：モスクワ登録州/都道府県：マサチューセッツ州登録郵便番号： 123592登録国：ロシア語登録電話番号： 007.7581235641登録電子メール： mkk.goro @ bk.ru管理番号： di_4275224管理者名：ミックジャガー管理団体名： n / adminのstreet1 ： 1赤の広場管理都市：モスクワadminの州/都道府県：マサチューセッツ州管理者郵便番号： 123592管理者の国：ロシア語管理者電話番号： 007.7581235641管理電子メール： mkk.goro @ bk.ru技術番号： di_4275224技術名：ミックジャガー技術振興機構： n /技術street1 ： 1赤の広場技術市：モスクワ技術州/都道府県：マサチューセッツ州技術の郵便番号： 123592技術の国：ロシア語技術電話： 007.7581235641技術の電子メール： mkk.goro @ bk.ruネームサーバー： mkkg98981.mercury.orderbox - dns.comネームサーバー： mkkg98981.venus.orderbox - dns.comネームサーバー： mkkg98981.earth.orderbox - dns.comネームサーバー： mkkg98981.mars.orderbox - dns.com 

Note: The registrant address on 1 red square is a famous restaurant in Moscow.注：登録アドレスを1赤の広場は、モスクワの有名なレストランです。

Its pretty obvious that wordpress.net.in belong to registrar in India.そのwordpress.net.inかなり目に見えているインドのレジストラに属しています。

Live example wordpress.net.in injectionライブの例wordpress.net.in注射液

Google query for warning “[function.include]” allintext: “wordpress.net.in” . Googleのクエリを警告" [ function.include ] " allintext ： " wordpress.net.in "です。 Used fiddler or any http-inspector to trace the full header request.使用されるバイオリン弾き -インスペクタまたは任意のHTTPリクエストのヘッダー全体をトレースする。

1 Evan Morris 1エヴァンモリス

Wordpress 2.0.6 | url | screenshot WordPressの2.0.6 | のURL | スクリーンショット

2 carwax 2 carwax

Wordpress 1.5.2 | url | screenshot WordPressの1.5.2 | のURL |スクリーンショット

3 aabenthus.biz 3 aabenthus.biz

Wordpress 2.0.x | url | screenshot WordPressの2.0.xの| のURL |スクリーンショット

4 mythinger.com 4 mythinger.com

Wordpress 2.0.2 | url | screenshot WordPressの2.0.2 | のURL | スクリーンショット

5 classicalanglican.net 5 classicalanglican.net

Wordpress 2.0.2 | url | screenshot WordPressの2.0.2 | のURL | スクリーンショット

6 echo9er.net 6 echo9er.net

WordPress 1.5.1 | url | screenshot WordPressの1.5.1 | のURL |スクリーンショット

7 boyarick.com 7 boyarick.com

Wordpress 2.0.2 | url | screenshot WordPressの2.0.2 | のURL |スクリーンショット

Google Directory search for class-mail.php Googleディレクトリ検索クラス- mail.php

Search for class-mail.php in open directory (public). クラス- mail.phpで検索するオープンディレクトリ（パブリック）です。
“parent directory” class-mail.php -html -htm –php -shtml -md5 -md5sums "親ディレクトリ"クラス- mail.php - HTMLの- htm -でPHP - shtml - MD5の- md5sumsの

• jean-cyril.com - wp-includes · spams link redirect to www.901am.com/?page=2157 . ジャン- cyril.com -のW P-含まれてw ww.901am.com/?page=2157にリダイレクトされるスパムのリンクです。 jean-cyril.com has wp-info.txt inside his wp-includes directory.ジャン- cyril.com info.txtの内側には彼のWPのWP含まれてディレクトリに移動します。 This text files hold unserialize database password and stuff.このテキストファイルを保持するデータベースのパスワードを入力し、 unserializeものです。
• floaridablog.org - wp-includes · spams redirect to communications.uml.edu/sunrise/?id=1076 (University of Massachusetts Lowell) the offending spams page has been removed by UML maintainer. floaridablog.org -のW P-含まれてスパムにリダイレクトされるc ommunications.uml.edu/日の出/ですか？番号= 1 076（マサチューセッツ大学のローウェル）の不愉快なスパム対策のページが削除されてU MLのメンテナされています。

Hiding from search engine Spiders隠れているから検索エンジンスパイダー

First, I did some more comparative search at archive.org for howardowens.com and mattheaton.com.第一に、私はいくつかの他の比較を検索できるようにarchive.orgをmattheaton.com howardowens.comとします。 It turn out both of this sites has been stop from IA Archiver few months before the spams start showing on their footer.それアウトの両方の電源を停止され、このサイトからのスパムアイオワアーカイバスタート]ボタンを数ヶ月前までにフッターに表示されています。 You will need to check howardowens index on archive.org so you can understand my suspicious.をチェックする必要があります。 howardowensインデックスを理解することができます私の不審なarchive.orgです。

• http://web.archive.org/web/*/http://www.howardowens.com http://web.archive.org/web/ * / http://www.howardowens.com
• http://web.archive.org/web/*/http://www.mattheaton.com http://web.archive.org/web/ * / http://www.mattheaton.com

Out of boredom I cloaked myself as the following agents.包る者章退屈する私自身としては、次の代理店です。

• Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp) - 74.6.8.125 - llf520032.crawl.yahoo.net mozilla/5.0 （互換性;ヤフー！遠慮がち; http://help.yahoo.com/help/us/ysearch/slurp ） -7 4.6.8.125- ll f520032.crawl.yahoo.net
• Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html) 66.249.64.50 - crawl-66-249-64-50.googlebot.com mozilla/5.0 （互換; googlebot/2.1 ; http://www.google.com/bot.html ） 66.249.64.50 -[クロール-六十六〜二百四十九- 6 4- 5 0.googlebot.com
• Mozilla/2.0 (compatible; Ask Jeeves/Teoma) - 65.214.44.204 - egspd42002.ask.com mozilla/2.0 （互換性; Ask Jeevesの/ teoma ） -6 5.214.44.204- eg spd42002.ask.com
• Mediapartners-Google/2.1 66.249.73.213 - crawl-66-249-73-213.googlebot.com mediapartners-google/2.1 66.249.73.213 -[クロール-六十六〜二百四十九- 7 3- 2 13.googlebot.com

Not much change on both of these sites.あまりの両方のこれらのサイトに変更する。 Then I read the status header, it return 404 instead of 200.ヘッダを読んだの状態入力し、それを返します404の代わりに200です。 Nice tricks for stopping crawler & spider from spying their joy-ride-spamhouse.ニーストリッククローラ＆スパイダーよりスパイ活動停止に喜び-に乗る- spamhouseです。

Summary概要

bits & bytes from this accident we knew thatビット＆バイトから、この事故で私たちを知っていた

• Most of the site inject are running on wordpress 2.0.6 & belowほとんどのサイト上で実行され注入2.0.6 ＆ WordPressの下に
• allow_furl_open is set to true for this injection to work allow_furl_openこの注射液をtrueに設定する仕事
• Most of the blogs owner is unaware about the spams links (cloacking)ほとんどのスパムについては、ブログの所有者が気付いていないのリンク（ cloacking ）

Checkout Murray access log , it will give you some ideas with the remote injections methods.レジにマーレーのアクセスログには 、いくつかのアイデアを与えることは、リモート注射方法を使用します。

Update更新する

Dec 03 2007 12月03 2007

All the spams link to howardowens.com page has been removed.スパムのリンクをhowardowens.comのすべてのページが削除されています。 I havent talk with howardowens but I assume howard’s site is being injected the same way like Matt Heaton blog.私のhaven't話をするハワードhowardowensしかし、私のサイトを想定されて同じように注入されたブログのようなマットヒートンです。

Dec 04 2007 12月04 2007

Mattheaton.com has a minor update, the spams now inject on both header and footer. mattheaton.comには、マイナーな更新プログラムでは、スパムを今すぐヘッダーとフッターの両方を注入します。
tangonoticias.com:7070/d_pill/577.html . tangonoticias.com ： 7070/d_pill/577.htmlです。
As tangonoticias.com is running on Joomla CMS they create a static “Wordpress” on port 7070 (Real Network Server & RSTP Port). joomlaのCMSとしてtangonoticias.comを実行して彼らを作成する静的な" WordPressの"にはポート7070 （リアルネットワークサーバー＆ rstpポート） 。 This is probably a work of different attacker, taking advantage of Matt heaton blindspot. Google Cache (Nov 12)これはおそらく、仕事の異なる攻撃者、マットヒートンblindspot活用します。 Googleのキャッシュ （ 11月12日）

Dec 11 2007 12月11 2007

Matt heaton has been purified.マットヒートン精製されています。 He’s now using latest version of Wordpress (2.3.1).彼の現在の最新バージョンを使用してのWordPress （ 2.3.1 ） 。 You can still view it on cached thought & screenshot .キャッシュに保存して表示することができます思想＆ スクリーンショットです。

Related Post関連のポスト

• How to Removed wordpress.net.in Spam Injection 迷惑メールを削除する方法をwordpress.net.in注射液
• Jan 31st, 2008 - Matt Heaton Bluehost Hostmonster CEO Hacked Again - Strike II 2008年1月31日 -マットヒートンb luehosth ostmonster最高経営責任ハッキング再び-スト2世

External Links外部リンク

• Bluehost Hostmonster CEO’s blog 代表取締役のブログbluehost hostmonster
• DNS Lookup results for wordpress.net.in DNSルックアップ結果をwordpress.net.in
• Aboutus.org wiki on MattHeaton.com ウィキをaboutus.org mattheaton.com
• National Vulnerabilities Database (NVD) on Wordpress 2.0 > 2.0.5 vulnerabilities 国家の脆弱性データベース（メーカーNVD ）をWordPress 2.0の> 2.0.5の脆弱性
• Murray’s Blog My Wordpress Cracked マーレーさんのブログ私のWordPressのひび
• pseudo-flaw - more random wordpress blogs owned by seo spammers 疑似的な欠陥-ソによって所有さW ordPressB logsの他のランダムなスパマー