Malware, eval, zabezpečení

Štítky: 

Zvolené téma obsahuje celkem 11 odpovědí. Do diskuze (3 účastníci) se naposledy zapojil uživatel  neteyescz a poslední změna je stará 12 let, 5 měsíců.

Aktuálně je na stránce zobrazeno 12 příspěvků - 1. až 12. (z celkem 12)
  • Autor
    Příspěvky
  • #1218

    wifi_jirka
    Participant
    Web

    Ahoj,

    několik stránek mi napadl malware, který je přesměrovává pomocí EVAL funkce.

    Už se mi to kdysi na stejném hostingu stalo, následovala řada opatření změna všech hesel apod., ale je to tu zas. Trošku mám podezření na hosting, ale chyba může být i u mně. Hosting podezřívám proto, že i pracovní adresář s wordpressem byl hacknut, přitom zde žádná bezpečnost wordpressu (hesla, databáze, cross site) nehraje roli.

    Každopádně naní hledám způsob, jak eval funkci ze stránek odstranit co nejrychleji. Zatím to dělám ručně a je to dost pomalé …

    Také uvažuju, jak zabezpečit stránky. Celé to jede pod Cpanelem, využívá se i simplescript, tak nevím, co mi vlastně změnilo soubory a jak se tomu vyhnout …..

    Díky za pomoc

    #9523

    neteyescz
    Participant

    Zdravím,

    Rozhodně bych to řešil hostingovou firmou, pokud máte podezření na jejich pochybení a v důsledku toho hacknutí vašich stránek. Dále, pokud byl váš web napaden funkcí Eval, možná bych zvážil, zda obsah všech napadených souborů nevložit do PSPADU, každý neoddělit čárou ( aby jste se v tom vyznal ) a dát nahrazení eval() “ničím” . Co se týče bezpečnosti WordPress webu, doporučuji přečíst tento Lukenziho článek: http://www.wp-blog.cz/147-je-vas-wordpress-opravdu-bezpecny/ . Dále je docela zajímavý plugin Secure WordPress: http://wordpress.org/extend/plugins/secure-wordpress/ .

    Omlouvám se za případně gramatické chyby( psáno ve spěchu ).

    Neteyes.cz

    #9524

    wifi_jirka
    Participant
    Web

    diky za reakci.

    Eval nahrazuju, ale vzhledem k tomu, že se dostal do všech php souborů (na několika webech) včetně pluginů a šablon, je to šílené.

    Asi by pomohlo nějaké hromadné řešení pomocí shellu, kterému nerozumím. Zkoušel jsem i zakázat eval přes php.ini, ale nějak se tato změna neprojevila (na webhostingu v tomto směru žádná pomoc).

    #9525

    neteyescz
    Participant

    Zdravím,

    Hledal jsem v paměti i na netu a nalezl následující skvělý program, myslím, že psát skript nebo řešit pomocí shellu by bylo náročně, osobně bych preferoval jednoduché “replace” tedy “nahrazení. Pspad má tuto funkci značně omezenou, dovoluje totiž nahrazovat pouze v otevřeném souboru ( věřím, že to musí být šílené, pokud to káte všude na všech webech ). Použil bych proto freeware prográmek “Hromadný měnič”, kde pouze nahrajete soubory, kde chcete daný řetězec přepsat a zvolíte jaký a čím ho nahradit. Dále lze také použít prográmek Replacer 2. Doporučuji přečíst:

    http://codex.wordpress.org/FAQ_My_site_was_hacked .

    POZOR: Před jakoukoli úpravou všech souborů, nezapomeňte zálohovat!

    Odkazy:

    http://www.stahuj.centrum.cz/utility_a_ostatni/prace_se_soubory/prevody_souboru/hromadny-menic/

    http://www.slunecnice.cz/sw/replacer-2/

    Neteyes.cz

    #9526

    wifi_jirka
    Participant
    Web

    diky, HM jsem použil hned, bez něj by bylo už lepší vše přeinstalovat … nicméně stále je to pomalé :-(

    každopádně díky

    #9527

    neteyescz
    Participant

    Pokud vám web běží pomalu, je možné, že vám například hosting z důvodu vysokého vytížení serveru, způsobené hacknutím vašich stránek raději snížil memory_limit. Dále je možné to, že na stránkách ještě pořád nějáký vir je, nebo že zanechal někde ve zdrojovém kódu pěkný “bordel”.

    Možná bych zkusil plugin: http://wordpress.org/extend/plugins/antivirus/ .

    Neteyes.cz

    #9528

    wifi_jirka
    Participant
    Web

    Pomalu neběží web, ale to odstraňování těch hack kodu. I když používám hromadný měnič, přece jen je to stahování souborů přes ftp, jejich změny, opět nahrání a to v několika adresářích worspressu ve všech php filech na několika webech.

    ale jak říkám, vzhledem k tomu, že mi infikovali i adresář, kde jsem mel jen rozbalené nepoužité soubory wordpressu, tak útok musel přijít někde zevnitř, nikoli přes wordpress. Takže mi tyhle pluginy nepomohou.. :-( chjo

    #9529

    neteyescz
    Participant

    Zevnitř?

    Psal jste na hosting?

    #9530

    admin
    Keymaster
    Web

    Útočníci umí získat hesla např. z nezašifrovaných FTP programů (Total Commander a další). Takže pokud si tam hesla ukládáte a na počítač se vám dostala nákaza, mohou být vaše přístupy zneužité.

    1) Prohlédnout (případně vyčistit) počítač.

    2) Změnit všechna hesla (zejména FTP).

    3) Udělat zálohy všech webů (i databáze).

    4) Přeinstalovat WordPress a pluginy, případně prohlédnout šablonu a opravit infikované soubory.

    Mimochodem, proč opravujete všechny infikované soubory? Stačí přece WordPress i pluginy jen ručně přeinstalovat a soubory můžete měnit pouze u několika souborů používané šablony (pokud ji nemáte zálohovanou).

    #9531

    neteyescz
    Participant

    Admin má pravdu, útočník se menusel přehrizávat přes hosting či nějákou chybu v kódu, pokud nepoužíváte antivir, mohl vaše hesla klidně zjistit přes TC ( viz. admin ), Total Commander ale jde zašifrovat. Via: http://podpora.ebola.cz/article.php?id=119 , a zade je pěkný článek: http://www.emag.cz/total-commander-jako-bezpecnostni-hrozba/ .

    Neteyes.cz

    #9532

    wifi_jirka
    Participant
    Web

    admin:

    1 – budu muset prověřit, jestli tady není nějaká zrada

    2 – provedeno, akorát nevím jak funguje SimpleScripts (jestli jej nějak nevypnout, protože taky používá http://FTP... na druhé straně by se upgrady tímto docela zkomplikovaly)

    3 – jasne, na tohle se asi ještě zeptám v samostatném threadu. Nějaké zálohy mám, ale u mnoha webu už třeba i neaktuální, selhala i záloha na servru, takže klasicky – když se něco posere, tak pořádně :-)

    4 – v podstatě toto dělám, ale nevím jak účinně přeinstalovat pluginy aby zůstalo zachováno nastavení

    TC – použivám šifrované heslo (je tam tuším od verze 7, TC mám legální žádný crack). Ale uvažuju, že v tomhle případě si jej radši budu pamatovat.

    Není to sranda :-( a to si myslím, že jsem na tyhle věci celkem zodpovědný :-(

    #9533

    neteyescz
    Participant

    Hezký večer,

    Záloha:

    Já osobně ke vší spokojenosti používám plugin BackUpWordPress, ten dokáže nejen zálohovat na určené místo na FTP serveru, ale i posílát zálohy každý den emailem na zvolenou adresa. Krásně se nastavuje.

    Nastavení pluginů:

    Nastavení se ukládá většinou pouze při aktualizaci pluginu, pokud přepíšete soubory za defaultní, nemůžete očekávat, že se něco uloží. Nic jako “přeinstalaci” neznám. Jedině mě napadá zálohovat databázi, nahrát soubory a nakonec nahrát zpátky zálohu. To kdyby se při nové instalaci pluginu přepisovalo původní nastavení.

    Neteyes.cz

Aktuálně je na stránce zobrazeno 12 příspěvků - 1. až 12. (z celkem 12)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.

WordPress – novinky, návody a zajímavosti