Skocz do zawartości

Problem z malware


5k18a

Rekomendowane odpowiedzi

Od wczoraj walczę z malware na wszystkich moich cmsach (wordpress i joomla), które są na serwerze nazwa.pl. Tracę już wiarę że uda mi się pozbyć tego syfu, w szczególności że infekuje również strony nie podpięte pod domenę. Wygląda to jak atak przez ftp, ale mam ustawiony dostęp tylko na mój adres IP. Wszystkie hasła pozmieniałem od panelu c.admin po FTP do cmsów i nic. Malware wygląda następująco:

1. dodaje przekierowania do .htaccess (różne katalogi):

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} google [OR]
RewriteCond %{HTTP_REFERER} google
RewriteCond %{REQUEST_URI} !(\.js|\.css|\.png|\.jpg|\.jpeg|\.gif|\.svg|\.ttf|\.woff|\.eot)
RewriteRule ^.*$ 7af5df.php [L]
</IfModule>

2. tworzy plik 7af5df.php (różne katalogi)

3. nadpisuje index.php

4 W losowych katalogach wordpressa i joomli tworzy katalog ad2e z wieloma plikami

Sam zmienia uprawnienia dostępu do plików z chmod 444 na chmod 644.

Po usunięciu wszystkich zmian, ustawieniu uprawnień na 444 po nawet niespełna minucie znowu mam nadpisanego malware. Sprawdzałem logi nie mam żadnych nieautoryzowanych logowań. Jedynie nie mam dostępu do loga FTP, ale już poprosiłem o wgląd do niego. Jednak zmiany dokonują się również po całkowitym wycięciu dostępu do FTP. Więc nie spodziewam znaleźć się tam niczego ciekawego.

Wie ktoś jak z tym mogę walczyć?

wycieczki po górskich szlakach grcsystem.pl

imitacja kamienia i skał

Odnośnik do komentarza
Udostępnij na innych stronach

5 minutes ago, krzysiuus said:

A sprawdzałeś czy Twój komputer nie jest zainfekowany? Może jakieś pseudo dziurawe wtyczki masz w joomli czy wp?

Sprawdzałem komputer przy użyciu Malwarebytes i Ad-avare jest czysto. Polecasz jeszcze jakiś skaner?

wycieczki po górskich szlakach grcsystem.pl

imitacja kamienia i skał

Odnośnik do komentarza
Udostępnij na innych stronach

Najlepsze rozwiązanie ale za to najbardziej czasochłonne to postawić na drugim czystym serwerze od nowa najnowsze wersje cmsa i ręcznie przenieść treści. Ten wirus replikuje się do wszystkich katalogów na serwerze i nie ma sensu usuwać go na zainfekowanym serwerze w poszczególnych domenach bo i tak się rozmnoży.

Odnośnik do komentarza
Udostępnij na innych stronach

4 hours ago, elroy said:

go na zainfekowanym serwerze w poszczególnych domenach bo i tak się rozmnoży.

Hosting to nie komputer z Windows i procesami i programami exe. Hosing tp przede wszystkim kod php i żądania post/get je wywołujące.

 Więc można się pozbyć "obcego kodu" i zabezpieczyć przed ponownym dodaniem, ale najpierw trzeba ustalić metodę ataku i usunąć przyczyny nie tylko jego skutki.

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Ok chyba opanowane. Zdarzało mi się że miałem jakiegoś robala ale zwykle to było wycięcie kodu z jednego pliku php. Tym razem miałem backdoora zainstalowanego przez jedną lewą wtyczkę. Usunąłem wszystkie strony z serwera i czyściłem je na moim kompie. Cała procedura trwała 2 dni. I mimo, że nie mam żadnych powiadomień w gsc to strona została wyindeksowana. Kompletnie nie ma mnie na żadnej pozycji, a byłem na 3 miejscu. I teraz nie wiem czy wrócę czy jestem w głębokiej d... 50% klientów jest ze strony internetowej. Jak nie wrócę na miejsce to nawet nie chcę myśleć co będzie..

wycieczki po górskich szlakach grcsystem.pl

imitacja kamienia i skał

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności