Uwaga na złośliwy kod

[mario1973]

Kurde przeleciałem pliki Wordpressa i nie widzę żadnego iframe, ale jak sprawdzam kod strony i gdzieś to jest. Dolepiło mi to g*wno na początku, przed HTML. Nie wiecie gdzie wp keszuje strony. Przeleciałem już wszystkie katalogi i nigdzie nie widzę tego kodu.

dokleja się do wp-config.php ....

M

[milkus]

dokleja się do wp-config.php ....

Tu też go nie ma.

[zakręcony]

ustaw po dacie zmian listowanie plików i leć wszystkie katalogi jeszcze raz

[mario1973]

dokleja się do wp-config.php ....

Tu też go nie ma.

No to nie wiem. Jeśli nie używasz pluginów keszujących, to wp nie keszuje niczego.

A skina sprawdziłeś ? tu też się wyspecjalizowali...

jak obserwuję logi serwera ftp, to widać prawdziwe wilcze stada przychodzące i logujące się - np. masowo z kilkudziesięciu IP na jeden login jednocześnie.....

M

[Irek]

Po to dałem emotkę

Dodatkowe rozwinięcie myśli nie zaszkodzi

[milkus]

Dzięki zakręcony, na ten pomysł nie wpadłem. Siedziało to w wp-includes/default-filters.php

Na wszelki wypadek zgłosiłem to do avasta, może im się uda coś zdziałać. W końcu ktoś się za to musi zabrać.

Widziałem już najróżniejsze rzeczy w wydaniu rosyjskich exploitów, ale takiej chamówy jeszcze nigdy nie było. Dotychczas były to trojany downloadery, które ściągały i instalowały aplikacje z zangocash i nic więcej się z systemem nie działo, a przynajmniej nie szkodziło to użytkownikom, pomijając krótki zawias systemu. W tym przypadku jednak nie mam pojęcia jaki ktoś ma w tym interes. Jak nie wiadomo o co chodzi to pewnie chodzi o kasę.

Przy tym nawet aktualizacje nie pomagają, nawet sam FF zawodzi.

Dobrze, że zareagowałem w porę i nie zdążyło wszystkiego zainfekować.

[zakręcony]

przy tej infekcji najwazniejsze jest nie trzymanie haseł w TC a i nie wiem czy bezpieczne jest wogóle korzystanie z TC jako klienta ftp (zdarzyło mi się po zmianie hasła do ftp na home.pl po skorzystaniu z TC nastepnego dnia, że kod sie znowu dopisał), przynajmniej w tych starszych wersjach, ponoć wersja 7.5 ma to juz naprawione...

ja TC uzywam teraz wyłacznie jako managera plików, do ftp uzywam darmowej File Zilli :]

i warto pozmieniać hasła do wszystkich kont jakie były w TC

[milkus]

Pozmieniałem hasła do FTP i w TC są tylko te stare. Zobaczymy co będzie jutro.

Najbardziej martwi mnie to, że przez to całe zamieszanie zmalał mi dzisiejszy utarg. Nic nie udało mi się sprzedać, oby tylko użytkownicy chcieli wrócić.

Dziadostwo to załapałem przeszukując strony na DMOZ. Jestem ciekaw czy ktoś jeszcze pilnuje tego katalogu.

[AdamAGP#]

ja TC uzywam teraz wyłacznie jako managera plików, do ftp uzywam darmowej File Zilli :]

Czytałem gdzieś, chyba tutaj na forum, że FileZilla też nie jest do końca bezpieczna :/

[milkus]

Właśnie napisał do mnie Pan z avasta. Podałem jemu link do tego wątku, więc jeśli macie jakieś sugestie i uwagi to piszcie.

Nie sądziłem, że zespół AVAST tak szybko zareaguje.

[zakręcony]

cos tam czytałem i o tym, ale tu hasełek też nie zapisuje

edit:

co do AVASTa, to problem tej infekcji był juz poruszany na PiO od dawna, a więc nei jest to jakis nowy szkodnik i jak do tej pory sobie z tym nie poradzono... nadal przechodzi przez komercyjne programy, nie wiem czy wszystkie, ale nie będe kupowal po koleii jak leci by sprawdzić

nod32 poległ na tym syfie

[mario1973]

Dziadostwo to załapałem przeszukując strony na DMOZ. Jestem ciekaw czy ktoś jeszcze pilnuje tego katalogu.

chyba raczysz żartować.

M

[zakręcony]

z dym DMOZ to nie do końca tak... ktos zrobił stronę, dodał, została zaakceptowana i pieknie... potem szkodnik dostal się do kompa własciciela, nieświadomy infekcji nic nie robił, a dalej poszło... modzi DMOZ nie mają nic do tego trudno sobie wyobrazić by sprawdzano każą stronę nonstop... ja mam kilka katalogów i tego nie kontroluje - chyba że ktos zgłosi naruszenie, wtedy strona leci

[milkus]

Dziś znów to samo. Nawet najnowsza wersja beta TC zawodzi. Zmieniłem klienta, ponownie hasła. Co fajniejsze, to to, że wczoraj nie aktualizowałem haseł w TC, pozostały stare. Penie TC gdzieś sobie pozapisywał te nowe hasełka.

Dziś wywaliłem TC, zablokowałem jemu dostęp i zmieniłem klienta FTP. Jak to nie pomoże to pozostaje jedynie format. AVAST się wczoraj zaktualizował, więc ten syf nie wyłączył mi aktualizacji.

Na niektórych kontach znalazłem pliki index.html, które po próbie edycji AVAST mi wywalał iframe z tych plików.

Dla pewności też zablokowałem nowego klienta FTP, jak będzie chciał się łączyć to zapora teoretycznie powinna zapytać, no chyba że ten syf jest sprytniejszy niż mi się wydaje.

A tak z ciekawości, korzystał ktoś już z tej zapory : https://www.pctools.com/pl/firewall/?ref=go...CFcITzAodhFY-ig ?

[zakręcony]

jak poczyscisz pliczki, pozmieniaj hasła do ftp i odczekaj z dzien dwa, oczywiście nie zapisuj haseł i nie łącz się z ftp, jak infekcja się powtórzy to problemem może być hosting, jak pisałem miałem przypadek, że po zmianie hasła, stare było nadal aktualne(!), suport zareagował i poprawił tego buga...

edit:

i może być tak, że zmieniłeś hasło do ftp, a czasami hasło głowne do konta jest hasłem, które wpusci tez na ftp, ja zmieniałem wszystkie hasła gdzie tylko się dało