Matt Heaton BlueHost HostMonster CEO Official Blog Hacked Мэтт Хитон BlueHost HostMonster ГАС Официальный блог взломали

Dec 11 2007 - Matt Heaton Blog’s has been cleansed. 11 декабря 2007 - Мэтт Хитон блога был чистке. ATM he’s using latest version of WordPress (2.3.x). Банкомат он использует последнюю версию WordPress (2.3.x). And also most of the blogs lists in this articles has been upgrade. А также большая часть блогов в списках этой статьи был обновление.

Jan 26th, 2008 - Seem like bluehost engineer did a bad job at cleaning, the goro spam is back . 26 января 2008 год - кажется bluehost инженер сделал плохую работу по уборке, Горо спам снова.

Just after the recent issue on wordpress.com.cn now there is new wordpress imitater. Просто после недавнего вопроса о wordpress.com.cn теперь есть новый Wordpress imitater. A remote spamware injection by wordpress.net.in Дистанционное spamware путем инъекций wordpress.net.in

I was reading one of Matt Heaton posted 2 days ago when I found bunch of spamsware link on his wordpress footer . Я читал один из Мэтт Хитон размещены 2 дня назад, когда я нашел кучу spamsware ссылку на свой Wordpress колонтитул.

Matt’s is using default wodpress theme (kubrick) with single javascript for adsense. Мэтт в использует по умолчанию wodpress тему (Кубрик), с одной JavaScript для AdSense. The only way the spams can get in is probably via php injection or by manual editing. Единственный способ спам можно получить в, возможно, через PHP-инъекции или путем ручного редактирования. All the spamware is redirect to howardowens.com/?order=XX page. Все spamware является перенаправление на howardowens.com /? Порядок = XX странице.

Lookup for howardowens.com Поиск по howardowens.com

The below diagram explained the lookup results for howardowens.com . click on the image to enlarge. Диаграмме ниже объяснил результаты поиска для howardowens.com. Кликните на картинку для увеличения.

Surprisingly the spammer website is also host by bluehost.com (69.89.16.0/20,74.220.192.0/19 ,69.89.16.4 -> box183.bluehost.com). Удивительно спамера сайте также принимающих на bluehost.com (69.89.16.0/20, 74.220.192.0/19, 69.89.16.4 -> box183.bluehost.com).

Tracking the spam sources. Отслеживание источников спама.

Raw whois for wordpress.net.in Сырье Whois для wordpress.net.in

 Domain ID:D2500581-AFIN Домен ID: D2500581-афина 
 Domain Name:WORDPRESS.NET.IN Доменное имя: WORDPRESS.NET.IN 
 Created On:22-Apr-2007 12:01:55 UTC Создано На :22-Dec-2007 12:01:55 UTC 
 Last Updated On:22-Jun-2007 02:26:40 UTC Последняя модификация :22-Jun-2007 02:26:40 UTC 
 Expiration Date:22-Apr-2008 12:01:55 UTC Срок действия :22-Dec-2008 12:01:55 UTC 
 Sponsoring Registrar:Direct Information Pvt. Спонсорство Секретарь: прямая информация ПВТ. Ltd. dba PublicDomainRegistry.com (R5-AFIN) ООО DBA PublicDomainRegistry.com (R5-импульса) 
 Status:OK Статус: OK 
 Registrant ID:DI_4275224 Регистрант ID: DI_4275224 
 Registrant Name:Mick Jagger Регистрант имя: Мик Джаггер 
 Registrant Organization:N/A Регистрант организация: N / A 
 Registrant Street1:1 Red Square Регистрант Street1: 1 Красная площадь 
 Registrant City:Moscow Регистрант город: Москва 
 Registrant State/Province:Massachusetts Регистрант Штат / провинция: Массачусетс 
 Registrant Postal Code:123592 Регистрант Почтовый индекс: 123592 
 Registrant Country:RU Регистрант Страна: RU 
 Registrant Phone: 007.7581235641 Регистрант Телефон:  007,7581235641 
 Registrant Email:mkk.goro@bk.ru Регистрант Email: mkk.goro @ bk.ru 
 Admin ID:DI_4275224 Код администратора: DI_4275224 
 Admin Name:Mick Jagger Имя администратора: Мик Джаггер 
 Admin Organization:N/A Администратор Организация: N / A 
 Admin Street1:1 Red Square Администратор Street1: 1 Красная площадь 
 Admin City:Moscow Администратор Город: Москва 
 Admin State/Province:Massachusetts Администратор Штат / провинция: Массачусетс 
 Admin Postal Code:123592 Администратор Почтовый индекс: 123592 
 Admin Country:RU Администратор Страна: RU 
 Admin Phone: 007.7581235641 Телефон администратора: 007,7581235641 
 Admin Email:mkk.goro@bk.ru Администратор Email: mkk.goro @ bk.ru 
 Tech ID:DI_4275224 Технология ID: DI_4275224 
 Tech Name:Mick Jagger Технология Название: Мик Джаггер 
 Tech Organization:N/A Технология организации: N / A 
 Tech Street1:1 Red Square Технология Street1: 1 Красная площадь 
 Tech City:Moscow Технология город: Москва 
 Tech State/Province:Massachusetts Технология Штат / провинция: Массачусетс 
 Tech Postal Code:123592 Технология Почтовый индекс: 123592 
 Tech Country:RU Технология Страна: RU 
 Tech Phone: 007.7581235641 Технология Телефон:  007,7581235641 
 Tech Email:mkk.goro@bk.ru Технология E-mail: mkk.goro @ bk.ru 
 Name Server:MKKG98981.MERCURY.ORDERBOX-DNS.COM Название сервера: MKKG98981.MERCURY.ORDERBOX-DNS.COM 
 Name Server:MKKG98981.VENUS.ORDERBOX-DNS.COM Название сервера: MKKG98981.VENUS.ORDERBOX-DNS.COM 
 Name Server:MKKG98981.EARTH.ORDERBOX-DNS.COM Название сервера: MKKG98981.EARTH.ORDERBOX-DNS.COM 
 Name Server:MKKG98981.MARS.ORDERBOX-DNS.COM Название сервера: MKKG98981.MARS.ORDERBOX-DNS.COM 

Note: The registrant address on 1 red square is a famous restaurant in Moscow. Примечание: заявление о регистрации по адресу 1 красный квадрат известного ресторана в Москве.

Its pretty obvious that wordpress.net.in belong to registrar in India. Ее довольно очевидным, что wordpress.net.in принадлежат к регистратору в Индии.

Live example wordpress.net.in injection Живой пример wordpress.net.in впрыск

Google query for warning “[function.include]” allintext: “wordpress.net.in” . Google запрос на предупреждение "[function.include]" allintext: "wordpress.net.in". Used fiddler or any http-inspector to trace the full header request. Б скрипач или любой HTTP-инспектор проследить полный заголовок запроса.

1 Evan Morris 1 Эван Моррис

Wordpress 2.0.6 | url | screenshot Wordpress 2.0.6 | URL | скриншот

2 carwax 2 carwax

Wordpress 1.5.2 | url | screenshot Wordpress 1.5.2 | URL | скриншот

3 aabenthus.biz 3 aabenthus.biz

Wordpress 2.0.x | url | screenshot Wordpress 2.0.x | URL | скриншот

4 mythinger.com 4 mythinger.com

Wordpress 2.0.2 | url | screenshot Wordpress 2.0.2 | URL | скриншот

5 classicalanglican.net 5 classicalanglican.net

Wordpress 2.0.2 | url | screenshot Wordpress 2.0.2 | URL | скриншот

6 echo9er.net 6 echo9er.net

WordPress 1.5.1 | url | screenshot WordPress 1.5.1 | URL | скриншот

7 boyarick.com 7 boyarick.com

Wordpress 2.0.2 | url | screenshot Wordpress 2.0.2 | URL | скриншот

Google Directory search for class-mail.php Каталог Google Search для класса mail.php

Search for class-mail.php in open directory (public). Поиск класс-mail.php в Open Directory (государственные).
“parent directory” class-mail.php -html -htm –php -shtml -md5 -md5sums "Родительский каталог" Класс-mail.php-HTML, HTM-PHP-shtml-MD5-Суммы MD5SUMS

• jean-cyril.com - wp-includes · spams link redirect to www.901am.com/?page=2157 . Жан-cyril.com - РГ-включает в себя спам ссылка переадресацию на www.901am.com/?page=2157. jean-cyril.com has wp-info.txt inside his wp-includes directory. Жан-cyril.com имеет РГ-info.txt внутри его WP-включает в себя каталог. This text files hold unserialize database password and stuff. Это текстовые файлы, базы данных проведет unserialize пароля и прочее.
• floaridablog.org - wp-includes · spams redirect to communications.uml.edu/sunrise/?id=1076 (University of Massachusetts Lowell) the offending spams page has been removed by UML maintainer. floaridablog.org - РГ-включает в себя спам переадресацию на communications.uml.edu / восход /? ID = 1076 (университет штата Массачусетс Ловелл) оскорбительный спам страница была удалена по UML сопровождающий.

Hiding from search engine Spiders Сокрытие от "паукам" поисковых систем

First, I did some more comparative search at archive.org for howardowens.com and mattheaton.com. Во-первых, я сделал несколько сравнительный поиск в archive.org для howardowens.com и mattheaton.com. It turn out both of this sites has been stop from IA Archiver few months before the spams start showing on their footer. Она в свою очередь, как этого сайта была остановка от ИА Archiver несколько месяцев до начала спам с указанием на их колонтитул. You will need to check howardowens index on archive.org so you can understand my suspicious. Вам необходимо проверить howardowens индекс по archive.org так что вы можете понять мои подозрения.

• http://web.archive.org/web/*/http://www.howardowens.com http://web.archive.org/web/ * http://www.howardowens.com
• http://web.archive.org/web/*/http://www.mattheaton.com http://web.archive.org/web/ * http://www.mattheaton.com

Out of boredom I cloaked myself as the following agents. Из скуки я маскируют себя следующие агенты.

• Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp) - 74.6.8.125 - llf520032.crawl.yahoo.net Mozilla/5.0 (совместимый; Yahoo! Чавкать; http://help.yahoo.com/help/us/ysearch/slurp) - 74.6.8.125 - llf520032.crawl.yahoo.net
• Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html) 66.249.64.50 - crawl-66-249-64-50.googlebot.com Mozilla/5.0 (совместимый; Googlebot/2.1; http://www.google.com/bot.html) 66.249.64.50 - сканирование-66-249-64-50.googlebot.com
• Mozilla/2.0 (compatible; Ask Jeeves/Teoma) - 65.214.44.204 - egspd42002.ask.com Mozilla/2.0 (совместимый; Спросите Jeeves / Teoma) - 65.214.44.204 - egspd42002.ask.com
• Mediapartners-Google/2.1 66.249.73.213 - crawl-66-249-73-213.googlebot.com Mediapartners-Google/2.1 66.249.73.213 - сканирование-66-249-73-213.googlebot.com

Not much change on both of these sites. Не так много изменений по обе эти сайты. Then I read the status header, it return 404 instead of 200. Затем я прочитал заголовок статуса, это возвращение 404 вместо 200. Nice tricks for stopping crawler & spider from spying their joy-ride-spamhouse. Ницца приемы для остановки сканер И паук от шпионажа их радость-ездить-spamhouse.

Summary Резюме

bits & bytes from this accident we knew that И биты байта от этой аварии мы знали, что

• Most of the site inject are running on wordpress 2.0.6 & below Большая часть сайта привнести запущенных на Wordpress 2.0.6 И ниже
• allow_furl_open is set to true for this injection to work allow_furl_open установлен верно для этой инъекции на работу
• Most of the blogs owner is unaware about the spams links (cloacking) Большинство блогов владелец не знает о спам ссылки (cloacking)

Checkout Murray access log , it will give you some ideas with the remote injections methods. Оформить Мюррей журнал доступа, она даст вам некоторые идеи с удаленным инъекции методами.

Update Обновление

Dec 03 2007 Dec 03 2007

All the spams link to howardowens.com page has been removed. Все спам ссылка на howardowens.com страница была удалена. I havent talk with howardowens but I assume howard’s site is being injected the same way like Matt Heaton blog. Я нету разговаривать с howardowens, но я предполагаю, Ховард сайт в настоящее время вводится так же, как и Мэтт Хитон блоге.

Dec 04 2007 Dec 04 2007

Mattheaton.com has a minor update, the spams now inject on both header and footer. Mattheaton.com имеет незначительные обновления, спам в настоящее время привнести на верхний и нижний колонтитулы.
tangonoticias.com:7070/d_pill/577.html . tangonoticias.com: 7070/d_pill/577.html.
As tangonoticias.com is running on Joomla CMS they create a static “Wordpress” on port 7070 (Real Network Server & RSTP Port). Как tangonoticias.com работает на CMS Joomla они создают статических "Wordpress" на порт 7070 (Real сетевой сервер И RSTP порт). This is probably a work of different attacker, taking advantage of Matt heaton blindspot. Google Cache (Nov 12) Это, вероятно, работа различных злоумышленник, воспользовавшись Мэтт Хитон blindspot. Кэша Google (12 ноября)

Dec 11 2007 11 декабря 2007

Matt heaton has been purified. Мэтт Хитон был чистый. He’s now using latest version of Wordpress (2.3.1). Он теперь используется последняя версия Wordpress (2.3.1). You can still view it on cached thought & screenshot . Вы все еще можете увидеть на кэшированные мысли И скриншота.

Related Post Связанные пост

• How to Removed wordpress.net.in Spam Injection Как Удалено wordpress.net.in Спам инъекций
• Jan 31st, 2008 - Matt Heaton Bluehost Hostmonster CEO Hacked Again - Strike II 31 январь 2008 года - Мэтт Хитон Bluehost Hostmonster ГАС взломали Опять же - Забастовка II

External Links Внешние ссылки

• Bluehost Hostmonster CEO’s blog Bluehost Hostmonster ГАС Блог
• DNS Lookup results for wordpress.net.in DNS поиск результатов на wordpress.net.in
• Aboutus.org wiki on MattHeaton.com Aboutus.org Вики на MattHeaton.com
• National Vulnerabilities Database (NVD) on Wordpress 2.0 > 2.0.5 vulnerabilities Национальный Уязвимость Database (НВД) на Wordpress 2,0> 2.0.5 уязвимостей
• Murray’s Blog My Wordpress Cracked Мюррей в моем блоге Wordpress трещины
• pseudo-flaw - more random wordpress blogs owned by seo spammers псевдо-изъян - Больше случайных Wordpress блоги принадлежат SEO спамеров