博客中毒了

Posted by 冰河 at 19:51 Add comments 22,279 Views
062012

今天无意中备份博客的时候发现从VPS上拷贝下来的程序被小红伞报毒。查杀结果如下:

下面是详细报告:

类型:    文件
来源:    E:\Work\Blog\backup\backup_20120406\wwwroot\img.binghe.cc\favicon.ico
状态:    受感染
隔离对象:    4ace7145.qua
已还原:    否
已上传到 Avira:    否
操作系统:    Windows XP/VISTA Workstation/Windows 7
搜索引擎:    8.02.10.38
病毒定义文件:    7.11.27.32
检测:    PHP/PHPInfo.LL
日期/时间:    2012/4/6, 19:17

类型:    文件
来源:    E:\Work\Blog\backup\backup_20120406\wwwroot\binghe.org\wp-content\uploads\thumb-temp\k.php
状态:    受感染
隔离对象:    01ed0958.qua
已还原:    否
已上传到 Avira:    否
操作系统:    Windows XP/VISTA Workstation/Windows 7
搜索引擎:    8.02.10.38
病毒定义文件:    7.11.27.32
检测:    PHP/MassMail.4127
日期/时间:    2012/4/6, 19:16

类型:    文件
来源:    E:\Work\Blog\backup\backup_20120406\wwwroot\binghe.org\wp-content\uploads\thumb-temp\cp.php
状态:    受感染
隔离对象:    5d075807.qua
已还原:    否
已上传到 Avira:    否
操作系统:    Windows XP/VISTA Workstation/Windows 7
搜索引擎:    8.02.10.38
病毒定义文件:    7.11.27.32
检测:    PHP/HackTool.G
日期/时间:    2012/4/6, 19:16

类型:    文件
来源:    E:\Work\Blog\backup\backup_20120406\wwwroot\binghe.org\wp-content\uploads\thumb-temp\diam.php
状态:    受感染
隔离对象:    67eb4751.qua
已还原:    否
已上传到 Avira:    否
操作系统:    Windows XP/VISTA Workstation/Windows 7
搜索引擎:    8.02.10.38
病毒定义文件:    7.11.27.32
检测:    PHP/IRCBOT.EW
日期/时间:    2012/4/6, 19:16

类型:    文件
来源:    E:\Work\Blog\backup\backup_20120406\wwwroot\binghe.org\wp-content\uploads\thumb-temp\c98bbc1aa8c7b7a0f0611019e6927d12.php
状态:    受感染
隔离对象:    11a57594.qua
已还原:    否
已上传到 Avira:    否
操作系统:    Windows XP/VISTA Workstation/Windows 7
搜索引擎:    8.02.10.38
病毒定义文件:    7.11.27.32
检测:    PHP/HackTool.M
日期/时间:    2012/4/6, 19:16

类型:    文件
来源:    E:\Work\Blog\backup\backup_20120406\wwwroot\binghe.org\wp-content\uploads\thumb-temp\db.php
状态:    受感染
隔离对象:    221c6a68.qua
已还原:    否
已上传到 Avira:    否
操作系统:    Windows XP/VISTA Workstation/Windows 7
搜索引擎:    8.02.10.38
病毒定义文件:    7.11.27.32
检测:    PHP/Limworm.172478
日期/时间:    2012/4/6, 19:16

类型:    文件
来源:    E:\Work\Blog\backup\backup_20120406\wwwroot\binghe.org\wp-content\uploads\thumb-temp\pages.php
状态:    受感染
隔离对象:    53b95382.qua
已还原:    否
已上传到 Avira:    否
操作系统:    Windows XP/VISTA Workstation/Windows 7
搜索引擎:    8.02.10.38
病毒定义文件:    7.11.27.32
检测:    PHP/Shell.G.2
日期/时间:    2012/4/6, 19:16

类型:    文件
来源:    E:\Work\Blog\backup\backup_20120406\wwwroot\img.binghe.cc\favicon.ico
状态:    受感染
隔离对象:    4b3f7c25.qua
已还原:    否
已上传到 Avira:    否
操作系统:    Windows XP/VISTA Workstation/Windows 7
搜索引擎:    8.02.10.38
病毒定义文件:    7.11.27.32
检测:    PHP/PHPInfo.LL
日期/时间:    2012/4/6, 19:16

类型:    文件
来源:    E:\Work\Blog\backup\backup_20120406\wwwroot\binghe.org\wp-includes\checker.php
状态:    受感染
隔离对象:    4ab27018.qua
已还原:    否
已上传到 Avira:    否
操作系统:    Windows XP/VISTA Workstation/Windows 7
搜索引擎:    8.02.10.38
病毒定义文件:    7.11.27.32
检测:    PHP/Mailsend.A
日期/时间:    2012/4/6, 19:14

从报告中可以看出都是php病毒,尤其是mail相关的病毒。不知道会不会通过这些病毒提升到root权限,但是至少可以通过该病毒发动攻击或者发送垃圾邮件之类的。服务器提供商最烦垃圾邮件什么的了。

虽然Linux很安全,一般的程序不能获得root权限,但是这些php病毒防不胜防啊。

目前尚不知是因为之前博客被入侵导致的中毒还是VPS有漏洞。

UPDATE1:今天无意中发现有一个perl脚本占用很高的cpu,owner是www。kill -9掉之后查看了/wp-content/uploads/thumb-temp/发现一个叫sys的文件,打开一看就是那个perl脚本。同时博客根目录下多了2个文件夹和上面提到的几个php文件。去网上查了查,像是TimThumb Hack,下面是老外的讨论:

is-my-wordpress-being-hacked

回复里给出的建议是使Timthumb Vulnerability Scanner扫描下,更新最新的timthumb文件

这里有比较详细的应对策略:

Cleaning Up the TimThumb Hack

建议仔细对比清理下文件,尤其是有执行权限的!

UPDATE2:升级下了主题,本来想直接升级到最新版本,但是发现函数get_ancestors()是wordpress3.1才引入的。去suffusion官方主页找了找,发现悲剧的很,在suffusion3.7.5更新中作者提到:

No TimThumb
This is the second big change, and potentially more high impact than the first. TimThumb, though popular has some security holes, particularly with its old versions. Recently the WP review team started cracking down on themes relying solely on TimThumb. I introduced TimThumb into the mix more than a year back, but I had also introduced support for the native post thumbnail functionality of WP almost as soon as it was introduced. This helped me avoid the axe. With this release Suffusion bids adieu to TimThumb.
I have put together a resizing algorithm based on a method suggested by a contributor on WordPress Trac. I had to modify it a good bit to make it work the way I wanted and so that it did not break how your existing images looked.

和我遇到的病毒问题似乎相关。果断把 suffusion升级到3.7.7。考虑最近是不是把wordpress也升级下。但是升级到3.0分支最后的版本3.0.5还是最新版3.3.1值得商榷。

UPDATE3:博客升级到3.0.5,但是貌似英文版3.0分支是到3.0.6版本的,而且是个强制性的安全更新。不知道为什么中文版没有这个版本。

相关日志

7 Responses to “博客中毒了”

  1. 看来我还是不适合玩vps,太麻烦了~

  2. 杀毒还是小红伞给力哪,前段时间的js木马也是它报告的

  3. 真是防不胜防啊,前段时间也是被JS马搞的不胜其扰

Leave a Reply

(required)

(required)

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Protected by WP Anti Spam
© 2009 - 2024 冰河的博客