Dziwny wirus - podmiana indexu i innych plików

[toseo]

Witajcie

 

Niestety nie mogę sobie poradzić z dziadoskim wirusem. Podmienia on zazwyczaj 3 pliki :

indxe, wp-settings i wp-config chodź nie zawsze wszystkie trzy. Mam go aż na 3 stronach

jednego serwera, podmieniałem pliki i nic to nie dało, da radę żeby siedział on w bazie ?

 

Którędy to dziadostwo może wchodzić ?

[odys]

Przez FTP. Zmień hasło do logowania się, nie zapisuj go w kliencie FTP

[Mion]

23 minuty temu, toseo napisał:

Którędy to dziadostwo może wchodzić ?

FTP

Panel DA / Cpanel

Wcześniej zmienione pliki

Globalna dziura na hostingu

[5k18a]

1 hour ago, toseo said:

 

Którędy to dziadostwo może wchodzić ?

 

 

Możesz mieć zainstalowanego backdoora, który wszedł razem z wtyczką do wordpress. Usuwasz tylko skutki jego działania a nie przyczynę. Jestem pewny, że podmienia nie tylko te pliki ale całą masę innych wraz z htaccess.Zanim zaczniesz czyścić. Zainstaluj sobie wordfence i przeskanuj stronę (zajmuje to kilka godzin a nawet cały dzień) Dostaniesz info gdzie jest infekcja.

Metod usuwania robali jest wiele. Najprostsza to jak już będziesz wiedział co ci siedzi na stronie. Zrobienie pełnego backupu bazy i plików z serwera. Wgranie na serwer świeżych plików z instalki WP, przegranie pliku wp-config (po przejżeniu na obecność malware) przegranie htaccess (również czystego) potem wgranie plików motywu i plików z folderu uploads i instalacji pluginów z repozytorium. w ten sposób będziesz miał czysto. Ale musisz najpierw zlokalizować źródło infekcji. Jak okaże się że backdoor siedział w jakiejś wtyczce to jej nie instaluj tylko zastąp inną.

 

[Mion]

Jeśli masz dostęp, to przejrzyj logi FTP i zobacz czy nie ma w nich zapisu o logowaniu z "obcego" IP.

[5k18a]

Jeszcze jedno. Skanowanie zrób na wszystkich stronach. Backdoor może być zainstalowany na jednej z nich, nie koniecznie na wszystkich. Strony są w różnych folderach, ale nie są od siebie odizolowane. Infekcja może się przenosić na wszystkie katalogi na twoim FTP.

[toseo]

Dzięki chłopaki, myśłałem że to przeskoczę ale widać nie da rady.

Czeka mnie dzień niepotrzebnej roboty no ale muszę to zrobić. Dam znać jak efekty, jeszcze raz dzięki.

[jimmi]

@toseo możesz jeszcze spróbować webanti, ani mają skaner

[5k18a]

Webanti może być mylące. Nie porównują sumy kontrolnej plików wordpressa z repozytorium i na starcie jest już 99 plików potencjalnie groźnych. Lepiej sprawował się Wordfence jest tam opcja porównywania plików wordpressa i pluginów z repozytorium. A to już jest dobry ficzer. W Webanti na plus jest szybkość skanowania, bo idzie to jak burza.

[toseo]

Wordfence sprawdził się idealnie, przejrzałem też wszystko i usunąłem trochę ręcznie.

Strony czyste, dzięki za pomoc!

[Jacek J.]

Nie liczyłbym na zbawienne działanie Wordfence. Wykryje część plików, ale nie wszystkie. W dodatku wielokrotnie widziałem jak sama wtyczka została zainfekowana i nie wykrywała tego, więc nie bazuj nigdy nie wtyczkach bo możesz się przejechać, a pozorne rozwiązanie problemu da Ci tylko na chwilę poczucie bezpieczeństwa. 

 

Sprawdziłeś bazę danych?

Sprawdziłeś pozostałe katalogi na serwerze?

Doklejony kod nie zawsze jest w base64 czy eval  Także myślę, że jeszcze sporo pracy przed Tobą  No i oczywiście czy znalazłeś źródło problemu?

[bori79]

Zobacz czy nie masz czasem użytkownika dodatkowego, powinien być widoczny z panelu wp, ewentualnie w bazie wp_users

[5k18a]

23 minuty temu, Jacek J. napisał:

Nie liczyłbym na zbawienne działanie Wordfence. Wykryje część plików, ale nie wszystkie. W dodatku wielokrotnie widziałem jak sama wtyczka została zainfekowana i nie wykrywała tego, więc nie bazuj nigdy nie wtyczkach bo możesz się przejechać, a pozorne rozwiązanie problemu da Ci tylko na chwilę poczucie bezpieczeństwa. 

 

 

 

Dlatego skanowanie służy tylko wyłapaniu gdzie mniej więcej znajduje się wirus. Potem najrozsądniejszym rozwiązaniem jest wykasowanie całej zawartości FTP (po uprzednim zbackupowaniu zawirusowanej wersji) wgranie świeżych plików instalacyjnych wordpress. przegraniem poprzedniej wersji wp-config, po upewnieniu się że jest czyste. Potem wgraniu plików motywu z instalki i przegraniu folderu uploads (również po sprawdzeniu). Potem należy zainstalować wszystkie niezbędne pluginy, najlepiej bezpośrednio z bezpiecznego repo.  Ta metoda daje 100% pewności że w plikach php nic nie będzie. Baza danych to inna para kaloszy, ale nawet jak są tam wpisy, to jest mniejsza szansa na aktywację jeżeli wyczyścimy wszystkie pliki PHP.

[bori79]

Do tej pory w sieci działa strona, która ma płatne i darmowe szablony i często jest backdoor w nich. Znajduje się w pliku single-post.php albo post.php. Jest widoczny bo jest zakodowany i się odcina.

[Jacek J.]

Dnia 3.02.2017 o 10:28, 5k18a napisał:

 

Dlatego skanowanie służy tylko wyłapaniu gdzie mniej więcej znajduje się wirus. Potem najrozsądniejszym rozwiązaniem jest wykasowanie całej zawartości FTP (po uprzednim zbackupowaniu zawirusowanej wersji) wgranie świeżych plików instalacyjnych wordpress. przegraniem poprzedniej wersji wp-config, po upewnieniu się że jest czyste. Potem wgraniu plików motywu z instalki i przegraniu folderu uploads (również po sprawdzeniu). Potem należy zainstalować wszystkie niezbędne pluginy, najlepiej bezpośrednio z bezpiecznego repo.  Ta metoda daje 100% pewności że w plikach php nic nie będzie. Baza danych to inna para kaloszy, ale nawet jak są tam wpisy, to jest mniejsza szansa na aktywację jeżeli wyczyścimy wszystkie pliki PHP.

 

Skanowanie nie powie Ci praktycznie nic prócz tego, że jest kilka zmodyfikowanych bądź stworzonych pliczków. Wordfence całkowicie praktycznie olewa pliki JS, a jak już wyrzuca alert do plików, które nie należy modyfikować, więc w tym przypadku może wprowadzić niedoświadczonego użytkownika w błąd i sam przyczyni się to wysypania własnej strony.

 

Co do bazy danych to bez problemu da się wywołać wstrzyknięty tam kod, to Wordpress i nigdy z tym nie było problemów. 

 

Opisana metoda daje Ci pewność, że nie ma zainfekowanych plików, ale nie rozwiązałeś najważniejszego problemy, czyli nie znalazłeś przyczyny ataku, a na ślepo usunąłeś skutki. Tym samym proces jest tylko oddaleniem w czasie nieuniknionego.