How to remove wordpress.net.in spams Remote Injection 如何删除wordpress.net.in垃圾邮件 远程注射液

I found this while browsing WordPress support forum, some of these victims update their default_filters.php and upload class-mail.php inside their WordPress without being aware that it’sa backdoor (wordpress.net.in).我发现这同时浏览WordPress的支持论坛，其中一些受害者更新其default_filters.php和上传类mail.php WordPress的，他们没有意识到，这是后门 （ wordpress.net.in ） 。 There is no class-mail.php in WordPress except class-phpmailer.php .没有阶级mail.php在WordPress的除外类phpmailer.php 。 So don’t get confuse by it.因此，不要混淆了它。

Below is a quick workaround on how you can removed the offending goro spamware injection before Google banned you from the internet pipes.以下是一个快速解决方案如何，您可以删除违规戈罗 spamware注射前谷歌禁止你从互联网管道。

Workaround解决方法

• For temporary disable remote include in php.ini settings.临时禁用远程包括在 php.ini中设置。

   ;;;;;;;;;;;;;;;;;; 
   ; Fopen wrappers ; ;打开包装; 
   ;;;;;;;;;;;;;;;;;; 
  
   ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ;是否允许治疗的网址（如http://或ftp:// ）的文件。 
   allow_url_fopen = off allow_url_fopen =关闭 
   allow_url_include = off allow_url_include =关闭 
  

• Check your .htaccess for suspicious redirect.检查您的。 htaccess可疑的重定向。
• Find class-mail.php inside “*/wp-includes/” directory and removed it.寻找类mail.php 内 “ * /可湿性粉剂，包括/ ”目录，并删除它。
• Find the following code inside “*/wp-includes/default_filters.php” and removed it找到下面的代码内 “ * / wp-includes/default_filters.php ” ，并删除它

   add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775'); add_action （ ' wp_footer ' ， ' wpc7c16b8466d864eeefd20050625c7775 ' ） ; 
   function wpc7c16<>b8466d864eeefd20050625c7775() {功能wpc7c16 “ ” b8466d864eeefd20050625c7775 （ ） （ 
   @include('./wp-includes/class-mail.php'); @包括： （ ' 。 /可湿性粉剂，包括/类mail.php ' ） ; 
   if(sizeof($wparr)>0){如果（大小（ $ wparr ） “ 0 ） （ 
   echo "!div id=\"goro\"!";回声！ “专区编号= \ ”戈罗\ “ ！ ” ; 
   foreach($wparr as $k=>$v){ foreach （ $ wparr美元，当K = “ $五） （ 
   echo "“.ucwords($v[’key’]).”\n”;回声“ ， ” 。 ucwords （ $五[ '键'])." \ ñ “ ; 
   if($i  ==$inum) break;如果（ $字母i   ==$ inum ）破; 
   } ） 
   echo “!/div!”.$_footer;回声“ ！ /格!".$_英尺; 
   } ） 
   } ） 
  

• Robots.txt Exclusion robots.txt的排除

  Optional - Prevent googlebot from indexing the static spam page. 可选-防止G ooglebot索引静态垃圾邮件的网页。
  Login to Wordpress Admin > Manage > Files > Other Files → Key in “Robots.txt”.登录到WordPress的管理“管理”文件“其他文件 →关键在为” robots.txt “ 。 Add the following code.添加以下代码。

   User-agent: Googlebot用户代理： Googlebot会 
   Disallow: /*?*不允许： / * ？ * 
   Disallow: /*?不允许： / * ？ 
  

  Refer robots.txt .指的robots.txt 。

Possible WordPress class (suspicious) files that would be tempered可能WordPress的类（可疑）文件，将缓和

Md5 checksum the following files, compare it with official versions from WordPress Release Archive . MD5校验下列文件，比较它与官方版本WordPress的总览 。

• wp-db.php 可湿性粉剂， db.php
• gettext.php gettext.php

The above methods only remove and disabled the spams links, there is no guarantee that it will protected you from future vulnerabilities.上述方法只是删除和禁用邮件联系，也不能保证，将保护你的未来的脆弱性。 Backup (or export your post using WordPress eXtended RSS -WRX) and perform a full upgrade .备份（或出口后的使用WordPress的扩展RSS的WRX ）和执行全面升级。

Dec 13, 2007二零零七年12月13日

I just notice this recently.我只是最近通知本。 You’ll need to check your site HTTP Header.您需要检查您的网站HTTP头。 Most of the hijacked websites doesn’t response with correct HTTP Status Header (400<>500) .大多数被劫持的网站没有响应，正确的HTTP状态头（ 400 “ ” 500 ） 。 My guess is they did this to cloak from being crawl by search engine spiders.我的猜测是，他们这样做是为了掩饰被检索的搜索引擎Spider 。 If you had cleaned all the infected files and your header doesn’t response correctly get a rookit scanner .如果你有清洗所有被感染的文件和您的标题不正确反应得到rookit扫描器。

Check your website status header, try cloak your browser (UA) as Search Engine Crawler.检查您的网站上地位的标题，尝试斗篷您的浏览器（ UA ）的搜索引擎爬虫。 The following screenshot will show you how to setup this at web-sniffer.net.下面的截图将告诉您如何在安装这种网络sniffer.net 。

This methods may not work if the cloaking scripts used IP base tracking.这种方法可能无法正常工作，如果使用隐藏脚本的IP基础跟踪。 So try on different user agent string (ie: inoktomi, askjeeves, ia_archiver).因此，尝试不同的用户代理字符串（即： inoktomi ， askjeeves ， ia_archiver ） 。

Firefox Browser Firefox浏览器

You can also override your useragent string with firefox ↓.您也可以覆盖您的用户代理字符串与Firefox ↓ 。

about:config → general.useragent.overide = ‘ ua strings ‘ 约：配置→ general.useragent.overide = ' 尿酸弦 '

Wordpress.net.in Backdoor Wordpress.net.in后门

Extra info 额外信息

Dec 14, 2007 07年十二月14号

I did some research at archive.org .我没有一些研究archive.org 。 It seem our wordpress.net.in Seo Spam has been going on since 2005.它似乎我们wordpress.net.in徐垃圾邮件已经持续了自2005年以来。 The first variant used file_get_contents() PHP functions to retrieve their sources code (A UTF MAP Decoder 1974 Php Class ).第一次使用变file_get_contents （ ） PHP函数来撷取其来源的代码（甲解码器的UTF地图 1974年的PHP类） 。

I also found a signature name alxumuk (at MIT & wordpress.net.in).我还发现了签字名称alxumuk （麻省理工学院＆ wordpress.net.in ） 。 His first historic test can be root back at *.media.mit.edu/~? server (I hide the userid as it may be “false positive”).他的第一次历史性考验可根回到*. media.mit.edu / 〜 ？服务器（隐藏帐号，因为它可能是“假阳性” ） 。 After my first search on google for alxumuk all the results has been scraped out by Google & “Google alert” so there is no references to this query in Google Index.当我第一次搜索谷歌为alxumuk所有结果已经刮掉了谷歌与“谷歌警戒”所以没有提到这个查询谷歌索引。

My query for file_get_contents include require allintext:1974.* (the UTF decode package) and the signature (alxumuk) will return 403 Forbidden .我的查询需要file_get_contents包括allintext ： 1974 .* （成UTF解码器的封装）和签字（ alxumuk ）将返回403紫禁城 。

As Google Advanced Search blocked “the query” this may confirm that 1974.* (UTF decode) is probably the package for reading the bootstrap for wordpress.net.in backdoor (similar case like perl.santy net worm). 谷歌高级搜索拦截“查询”这可能会证实， 1974年.* （成UTF解码） ，可能是包的引导阅读的wordpress.net.in后门（类似案件一样perl.santy净蠕虫） 。

If this is a true Net Worm, I suggest anyone with older versions of Wordpress should removed\ the meta generator tag (Wordpress versions) and disabled XML-RPC(& RSD) for hardening wordpress from remote vectors vulnerabilities.如果这是一个真正的网络蠕虫，我建议任何与旧版WordPress的应取消\中继发电机标记（ WordPress的版本）和残疾人的XML - RPC （ ＆区署）为强化WordPress的从遥远的载体漏洞。

Wordpress.net.in Doorway Wordpress.net.in桥

Dec 24, 2007 → http://www.wordpress.net.in/mentors/alxumuk/ 2007年12月24日 → http://www.wordpress.net.in/mentors/alxumuk/

Backdoor Files后门文件

inside wp-includes directory.内可湿性粉剂，包括目录。

• compat.php - (replace with latest version) compat.php -（取代的最新版本）
• class-mail.php delete类mail.php 删除

scan & removes all backdoor files and create a .htaccess file inside wp-includes & wp-content/plugins .扫描和删除所有的后门文件并创建一个。 htaccess文件内可湿性粉剂，包括与wp-content/plugins 。 Then add the following code to disabled directory listing (prevent informations leak & Directory search index).然后添加以下代码残疾人目录列表（防止信息泄露和目录搜索索引） 。

 Options -Indexes选项-指标 

Wordpress.net.in New Partner Wordpress.net.in新的合作伙伴

Feb 23th 2008 , We found a similar signature like wordpress.net.in at qwetro.com (germany). 2008年2月23日 ，我们发现了类似的签名一样wordpress.net.in在qwetro.com （德国） 。 Probably from the same attacker with different agenda.也许从相同的攻击不同的议程。

removes malicious create_function wp_head filters清除恶意create_function wp_head过滤器

This are fixes for wordpress.net.in spams header injection.这是修复wordpress.net.in邮件标题注射。

 /** / ** 
  * Remove create_function action hook *删除create_function行动钩 
  * append on wordpress wp_head filters *关于WordPress的附加wp_head过滤器 
  * 
  * @author Avice De'véreux <ck@kaizeku.com> * @作者Avice De'véreux <ck@kaizeku.com> 
  * @copyright Copyright (c) 2006 Avice De'véreux * @版权版权所有（ c ） 2006 Avice De'véreux 
  * @version 1.0 * @版本1.0 
  * @license http://www.gnu.org/licenses/lgpl.html GNU Lesser General Public License * @许可http://www.gnu.org/licenses/lgpl.html的GNU通用公共许可证 
  * @link http://blog.kaizeku.com/wordpress/goro-spam-injection-wp-head-patch/ * @联系http://blog.kaizeku.com/wordpress/goro-spam-injection-wp-head-patch/ 
  */ * / 
 function remove_create_function_action()功能remove_create_function_action （ ） 
 { global $wp_filter; $ （全球wp_filter ; 

	 $action_ref = 'wp_head'; $ action_ref = ' wp_head ' ; 
	 $filter  = $wp_filter[$action_ref]; $过滤器= $ wp_filter [ $ action_ref ] ; 
	 $_lambda = array(); $ _lambda =阵列（ ） ; 

	 foreach(range(1,10) as $priority){ foreach （范围（ 1,10 ）优先美元） （ 

		 if (isset($filter[$priority]))如果（ isset （ $滤波器[ $优先] ） ） 
		 { （ 
			 foreach($filter[$priority] as $registered_filter ){ foreach （ $滤波器[ $优先]美元registered_filter ） （ 

				 $callback = (string) $registered_filter['function']; $回调= （字符串） $ registered_filter [ '功能' ] ; 

				 if ( preg_match("/lambda/", $callback) ) {如果（ preg_match （ “ /拉姆达/ ” ， $回调） ） （ 
		 	 		 $_lambda[$priority][] = $callback; $ _lambda [ $优先] [ ] = $回调; 
				 } ） 
			 } ） 

		 } ） 
	 } ） 

	 if ( count($_lambda) >= 0 ){如果（伯爵（ $ _lambda ） “ = 0 ） （ 

		 foreach($_lambda as $priority => $callback) { foreach （ $ _lambda优先美元= “ $回调） （ 
			 if ( has_filter($action_ref,$callback) ){如果（ has_filter （ $ action_ref ， $回调） ） （ 
				 remove_filter($action_ref, $callback, $priority, 1); remove_filter （ $ action_ref ， $回调， $优先， 1 ） ; 
			 } ） 
		 } ） 
	 } ） 
 } ） 

 add_action('init','remove_create_function_action'); add_action （ '初始化' ， ' remove_create_function_action ' ） ; 

The plugin’s can be download at Kaizeku Ban, goro spam injection fixes该插件的可下载Kaizeku班，戈罗垃圾注射修复

Related Posts有关职位

• Bluehost HostMonster CEO’s Blog hacked (wordpress.net.in) Bluehost HostMonster CEO的博客砍死（ wordpress.net.in ）
• Matt Heaton Bluehost Hostmonster CEO’s Hacked Again - Strike II 马特顿Bluehost Hostmonster CEO的黑客再次-罢工二

External Links外部链接

• Websniffer View HTTP Request and Response Header Websniffer查看HTTP请求和响应头
• Wordpress Support Forum WordPress的支持论坛
• National Vulnerability Database Wordpress 2.0 > 2.0.6 国家漏洞数据库WordPress的2.0 “ 2.0.6

Short URL短网址