How to remove wordpress.net.in spams Remote Injection Comment faire pour supprimer les spams wordpress.net.in injection à distance

I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in). J'ai trouvé cet lors de la navigation WordPress forum de support, certaines de ces victimes de leur mise à jour et télécharger default_filters.php classe-mail.php l'intérieur de leur WordPress sans être conscient que c'est une porte dérobée (wordpress.net.in). There is no class-mail.php in WordPress except class-phpmailer.php . Il n'y a pas de classe-mail.php dans WordPress exception de la classe-phpmailer.php. So don’t get confuse by it. Il ne faut donc pas confondre obtenir par elle.

Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes. Ci-dessous est une solution rapide sur la façon dont vous pouvez supprimé la délinquance Goro spamware injection avant que Google vous a interdit l'Internet à partir de tuyaux.

Workaround Contournement

• For temporary disable remote include in php.ini settings. Temporaire pour désactiver à distance les paramètres dans le fichier php.ini.

   ;;;;;;;;;;;;;;;;;; 
   ; Fopen wrappers ; ; Fopen wrappers; 
   ;;;;;;;;;;;;;;;;;; 
  
   ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ; Que ce soit pour permettre le traitement de l'URL (comme http:// ou ftp://) en tant que fichiers. 
   allow_url_fopen = off allow_url_fopen = off 
   allow_url_include = off allow_url_include = off 
  

• Check your .htaccess for suspicious redirect. Vérifiez votre. Htaccess pour rediriger suspectes.
• Find class-mail.php inside “*/wp-includes/” directory and removed it. Trouvez-classe mail.php intérieur "* / wp-includes /" répertoire et enlevé.
• Find the following code inside “*/wp-includes/default_filters.php” and removed it Trouvez le code suivant dans "* / wp-includes/default_filters.php" et supprimé

   add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); add_action ( 'wp_footer', 'wpc7c16b8466d864eeefd20050625c7775'); 
   function wpc7c16<>b8466d864eeefd20050625c7775() { wpc7c16 fonction <> b8466d864eeefd20050625c7775 () ( 
   @include('./wp-includes/class-mail.php'); @ include ( '. / wp-includes / class-mail.php'); 
   if(sizeof($wparr)>0){ if (sizeof ($ wparr)> 0) ( 
   echo "!div id=\"goro\"!"; echo "! div id = \" Goro \ "!"; 
   foreach($wparr as $k=>$v){ foreach ($ wparr que $ k => $ v) ( 
   echo "“.ucwords($v[’key’]).”\n”; echo "". ucwords ($ v [ 'clé'])." \ n "; 
   if($i  ==$inum) break; if ($ i   ==$ inum) break; 
   } ) 
   echo “!/div!”.$_footer; echo "! / div !".$_ pied de page; 
   } ) 
   } ) 
  

• Robots.txt Exclusion Robots.txt

  Optional - Prevent googlebot from indexing the static spam page. Facultatif - Empêcher l'indexation Googlebot de la page statique spam.
  Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”. Vous devez vous connecter pour Wordpress Admin> Gérer> Fichiers> Autres fichiers → clés dans "robots.txt". Add the following code. Ajoutez le code suivant.

   User-agent: Googlebot User-agent: Googlebot 
   Disallow: /*?* Disallow: / *? * 
   Disallow: /*? Disallow: / *? 
  

  Refer robots.txt . Reportez le fichier robots.txt.

Possible WordPress class (suspicious) files that would be tempered WordPress classe possible (suspect) qui serait tempéré

Md5 checksum the following files, compare it with official versions from WordPress Release Archive . Somme de contrôle MD5 les fichiers suivants, le comparer avec les versions officielles de WordPress Archives de sortie.

• wp-db.php wp-db.php
• gettext.php gettext.php

The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities. Les méthodes ci-dessus ne handicapés et supprimer les spams liens, il n'y a pas de garantie qu'il vous protégé de la vulnérabilité. Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade . Backup (ou à l'exportation en utilisant votre poste WordPress eXtended RSS-WRX) et d'effectuer une mise à jour.

Dec 13, 2007 13 déc 2007

I just notice this recently. Je viens d'avis récemment. You’ll need to check your site HTTP Header. Vous aurez besoin de vérifier votre site-tête HTTP. Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) . La plupart des sites ne détournent pas de réponse correcte Etat-tête HTTP (400 <> 500). My guess is they did this to cloak from being crawl by search engine spiders. Je suppose qu'ils ont fait à ce manteau d'être explorer par moteur de recherche des araignées. If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner . Si vous aviez nettoyé tous les fichiers infectés de votre tête et ne pas répondre correctement obtenir un rookit scanner.

Check your website status header, try cloak your browser (UA) as Search Engine Crawler. Vérifiez votre site Web statut tête, essayez de masquer votre navigateur (UA) en tant que moteur de recherche à chenilles. The following screenshot will show you how to setup this at web-sniffer.net. La capture d'écran suivante vous montrera comment configurer ce à Web-sniffer.net.

This methods may not work if the cloaking scripts used IP base tracking. Cette méthode mai ne fonctionnera pas si les scripts utilisés masquage IP de base de suivi. So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver). Donc, essayer sur différents chaîne agent utilisateur (c'est-à-dire: inoktomi, AskJeeves, ia_archiver).

Firefox Browser Le navigateur Firefox

You can also override your useragent string with firefox ↓. Vous pouvez également remplacer votre chaîne de useragent ↓ avec firefox.

about:config → general.useragent.overide = ‘ ua strings ‘ about: config → general.useragent.overide = 'ua cordes "

Wordpress.net.in Backdoor Wordpress.net.in Backdoor

Extra info Plus d'info

Dec 14, 2007 14 déc 2007

I did some research at archive.org . J'ai fait quelques recherches à archive.org. It seem our wordpress.net.in Seo Spam has been going on since 2005. Il nous semble wordpress.net.in Seo Spam est en cours depuis 2005. The first variant used file_get_contents() PHP functions to retrieve their sources code (A UTF MAP Decoder 1974 Php Class ). La première variante utilisée file_get_contents () Les fonctions PHP de récupérer leur code source (A UTF Décodeur MAP 1974 classe PHP).

I also found a signature name alxumuk (at MIT & wordpress.net.in). J'ai aussi trouvé une signature alxumuk nom (au MIT et wordpress.net.in). His first historic test can be root back at *.media.mit.edu/~? server (I hide the userid as it may be “false positive”). Son premier essai historique peut être de retour à la racine *. media.mit.edu / ~? Serveur (je masquer les userid mai comme il être «faux positifs»). After my first search on google for alxumuk all the results has been scraped out by Google & “Google alert” so there is no references to this query in Google Index. Après ma première recherche sur google pour alxumuk tous les résultats a été gratté par Google et "Google alerte" afin qu'il n'y ait pas de références à cette requête dans l'index Google.

My query for file_get_contents include require allintext:1974.* (the UTF decode package) and the signature (alxumuk) will return 403 Forbidden . Ma requête pour inclure file_get_contents exiger allintext: 1974 .* (UTF décoder le paquet) et la signature (alxumuk) sera de retour 403 Forbidden.

As Google Advanced Search blocked “the query” this may confirm that 1974.* (UTF decode) is probably the package for reading the bootstrap for wordpress.net.in backdoor (similar case like perl.santy net worm). Comme Recherche avancée de Google a bloqué «à la requête" ce que confirment mai 1974 .* (UTF décoder) est probablement le paquet pour la lecture de démarrage pour wordpress.net.in backdoor (cas similaire comme perl.santy net ver).

If this is a true Net Worm, I suggest anyone with older versions of Wordpress should removed\ the meta generator tag (Wordpress versions) and disabled XML-RPC(& RSD) for hardening wordpress from remote vectors vulnerabilities. S'il s'agit d'une véritable Net Worm, je suggère que toute personne avec les anciennes versions de Wordpress devrait enlevé \ le générateur de balise meta (Wordpress versions) et les handicapés XML-RPC (et RSD) pour durcir wordpress vecteurs de vulnérabilités à distance.

Wordpress.net.in Doorway Wordpress.net.in Doorway

Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ 24 déc 2007 → http://www.wordpress.net.in/mentors/alxumuk/

Backdoor Files Backdoor Fichiers

inside wp-includes directory. dans wp-includes répertoire.

• compat.php - (replace with latest version) compat.php - (remplacer par la dernière version)
• class-mail.php delete classe-mail.php supprimer

scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins . scan & backdoor supprime tous les fichiers et créer un fichier. htaccess dans wp-includes & wp-content/plugins. Then add the following code to disabled directory listing (prevent informations leak & Directory search index). Ensuite, ajoutez le code suivant à la liste des répertoires handicapés (prévenir la fuite d'informations et de recherche de l'index).

 Options -Indexes Options-Indexes 

Wordpress.net.in New Partner Wordpress.net.in nouveau partenaire

Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 23 février 2008, nous avons trouvé une signature similaire à wordpress.net.in comme qwetro.com (Allemagne). Probably from the same attacker with different agenda. Probablement de la même attaquant avec différentes ordre du jour.

removes malicious create_function wp_head filters supprime malveillant create_function wp_head filtres

This are fixes for wordpress.net.in spams header injection. Ce sont des correctifs pour les spams wordpress.net.in tête d'injection.

 /** / ** 
  * Remove create_function action hook * Suppression de create_function action crochet 
  * append on wordpress wp_head filters * Ajouter sur wordpress wp_head filtres 
  * 
  * @author Avice De'véreux <ck@kaizeku.com> * @ Author Avice De'véreux <ck@kaizeku.com> 
  * @copyright Copyright (c) 2006 Avice De'véreux * @ Copyright Copyright (c) 2006 Avice De'véreux 
  * @version 1.0 * @ Version 1.0 
  * @license http://www.gnu.org/licenses/lgpl.html GNU Lesser General Public License * @ Http://www.gnu.org/licenses/lgpl.html license GNU Lesser General Public License 
  * @link http://blog.kaizeku.com/wordpress/goro-spam-injection-wp-head-patch/ * @ Link http://blog.kaizeku.com/wordpress/goro-spam-injection-wp-head-patch/ 
  */ * / 
 function remove_create_function_action() remove_create_function_action fonction () 
 { global $wp_filter; (Global $ wp_filter; 

	 $action_ref = 'wp_head'; action_ref $ = 'wp_head'; 
	 $filter  = $wp_filter[$action_ref]; $ filtre = $ wp_filter [$ action_ref]; 
	 $_lambda = array(); _lambda $ = array (); 

	 foreach(range(1,10) as $priority){ foreach (fourchette (1,10) $ comme priorité) ( 

		 if (isset($filter[$priority])) if (isset ($ filtre [$ rang])) 
		 { ( 
			 foreach($filter[$priority] as $registered_filter ){ foreach ($ filtre [$ rang] de dollars registered_filter) ( 

				 $callback = (string) $registered_filter['function']; $ callback = (string) $ registered_filter [ 'fonction']; 

				 if ( preg_match("/lambda/", $callback) ) { if (preg_match ( "/ lambda /", $ callback)) ( 
		 	 		 $_lambda[$priority][] = $callback; _lambda $ [$ rang] [] = $ callback; 
				 } ) 
			 } ) 

		 } ) 
	 } ) 

	 if ( count($_lambda) >= 0 ){ if (count ($ _lambda)> = 0) ( 

		 foreach($_lambda as $priority => $callback) { foreach ($ $ _lambda comme priorité => $ callback) ( 
			 if ( has_filter($action_ref,$callback) ){ if (has_filter (action_ref $, $ callback)) ( 
				 remove_filter($action_ref, $callback, $priority, 1); remove_filter (action_ref $, $ callback, priorité $, 1); 
			 } ) 
		 } ) 
	 } ) 
 } ) 

 add_action('init','remove_create_function_action'); add_action ( «init», «remove_create_function_action '); 

The plugin’s can be download at Kaizeku Ban, goro spam injection fixes Le plugin peut être téléchargé à l'interdiction des mines Kaizeku, Goro spam injection fixe

Related Posts Postes liés à

• Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) Bluehost HostMonster chef de la direction du Blog piraté (wordpress.net.in)
• Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II Matt Heaton bluehost Hostmonster chef de la direction du nouveau piraté - Strike II

External Links Liens externes

• Websniffer View HTTP Request and Response Header Websniffer avis de requête HTTP et en-tête de réponse
• Wordpress Support Forum Wordpress forum de support
• National Vulnerability Database Wordpress 2.0 > 2.0.6 National Vulnerability Database Wordpress 2.0> 2.0.6

Short URL URL court