GoldenLine
Zaloguj się

konto usunięte

Temat: Wirus na stronie. Pomocy !

A czego dokładnie w nich szukać ?
Link do wypowiedziLink
Jakub K.

Jakub K.

Temat: Wirus na stronie. Pomocy !

Wszystkie pluginy masz z oficjalnych repo? Templatki też? Czy może nabrałeś się na free-super-plugin/theme for wp? :)
Link do wypowiedziLink

konto usunięte

Temat: Wirus na stronie. Pomocy !

wszystkie pluginy są pobrane z oficjalnych stron repo poza jednym pluginem: Popular Posts który pisał koder strony.
Templatka to mój projekt ktory kodował koder pod wp.
Link do wypowiedziLink
Konrad Karpieszuk

Konrad Karpieszuk WordPress Plugin
Compatibility
Assurance for WPML

Temat: Wirus na stronie. Pomocy !

i pluginy i sam wordpress są w najnwoszych wersjach? i zawsze byly?

jesli na powyzsze odpowiedz brzmi: tak, pozostaja jeszcze dwa wektory.

ulubiony przez wszystkich total comander i funkcja zapamietywania w nim hasel. wlasciwie to 80% przypadkow wlamania na strone, jakie znam.
- rozwiazanie: zmien haslo do ftp, nie uzywaj total comandera (a przynajmniej nie zapisuj w nim hasla), usun wszystkie smieci

inny wektor: dziurawe biblioteki wykorzystane przez kodera do zrobienia skorki lub tej wtyczki. kiedys wiele stron padlo przez php-timthumb. nie sadze by koder uzyl starej wersji akurat u ciebie, ale bibliotek jest wiecej i kazda moze miec dziure
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Wirus na stronie. Pomocy !

Stawiam timthumb. U mnie tak się dobrał do całego serwera.
Link do wypowiedziLink

konto usunięte

Temat: Wirus na stronie. Pomocy !

Zawsze na bieżąco aktualizuje pluginy.

To fakt mam zapamiętane hasła w TC. Usune i przerzucę się na FileZille. Ostatnio miałem troszkę syfu na laptopie i być może to jest winowajca.

Mam już czystego lapka i usunięty syf. Świadczą o tym LOGI z OTL i opinie fachowców.

timthumb - hmm nie wiem szczerze co to jest ale zadam pytanie- Jak załatać tą dziurę ?
Link do wypowiedziLink

konto usunięte

Temat: Wirus na stronie. Pomocy !

Mateusz C.:
Zawsze na bieżąco aktualizuje pluginy.
I bardzo dobrze ....chociaż czasem i aktualna wersja nie jest gwarantem bezpieczeństwa.
Mateusz C.:
To fakt mam zapamiętane hasła w TC. Usune i przerzucę się na FileZille. Ostatnio miałem troszkę syfu na laptopie i być może to jest winowajca.

Możliwe, ale zgadywanie ma to do siebie, że czasem się trafia a czasem nie.
Jeżeli będziesz w stanie przetrawić logi, to tam na 99% znajdziesz źródło problemu lub chociaż wskazówkę do niego przybliżającą.
Analiza logów w takich przypadkach to podstawa, podobnie jak skan samego kompa i zmiana haseł.
Mateusz C.:
timthumb - hmm nie wiem szczerze co to jest ale zadam pytanie- Jak załatać tą dziurę ?

Jeżeli masz gdzieś na serwerze plik timthumb.php, to trzeba by go zaktualizować - tutaj jest zawsze najnowsza wersja ....ewentualnie kombinować wtyczką - lub
Link do wypowiedziLink

konto usunięte

Temat: Wirus na stronie. Pomocy !

Jeżeli masz gdzieś na serwerze plik timthumb.php, to trzeba by go zaktualizować - tutaj jest zawsze najnowsza wersja ....ewentualnie kombinować wtyczką - lub

Gdzie takowy plik szukać ?
Link do wypowiedziLink

konto usunięte

Temat: Wirus na stronie. Pomocy !

Mateusz C.:
Gdzie takowy plik szukać ?

Jeżeli zamierzasz szukać samodzielnie, to skup się głównie na zawartości katalogów motywów i wtyczek ...choć bywają przypadki że jest dodawany poza nimi.

Podane wtyczki zaś powinny same przeczesać pliki i zakomunikować jeżeli go znajdą (a przynajmniej gdy będzie nieaktualny).Ten post został edytowany przez Autora dnia 20.06.13 o godzinie 23:03
Link do wypowiedziLink
Konrad Karpieszuk

Konrad Karpieszuk WordPress Plugin
Compatibility
Assurance for WPML

Temat: Wirus na stronie. Pomocy !

Mateusz C.:
To fakt mam zapamiętane hasła w TC. Usune i przerzucę się na FileZille.

nie tylko usun haslo, ale i zmien
Link do wypowiedziLink

konto usunięte

Temat: Wirus na stronie. Pomocy !

Skanowałem za pomocą wtyczki:
Anti-Malware (Get Off Malicious Scripts)
Nic nie znalazła. Jedyne co to pominęła pliki wgranych zdjęć a dokładniej ich miniatury "thumbs".

Zmieniłem wszystkie hasła oraz pozbyłem się plików z hasłami i przeniosłem sobie je na przenośny dysk.

Czy mogę myśleć iż strona jest już czysta ?

PS: Zerknijcie proszę na mój inny problem TUTAJTen post został edytowany przez Autora dnia 21.06.13 o godzinie 17:40
Link do wypowiedziLink
Aleksander Pasadyn

Aleksander Pasadyn Prezes Zarządu,
Digital Heaven Media
Sp. z o.o.

Temat: Wirus na stronie. Pomocy !

Sam miałem podobny problem. Bardzo często tego typu wirusy infekują pliki od skórek. Usunięcie skórek i wgranie ich jeszcze raz przy ustawieniu plików "tylko do odczytu" oraz ustawienie disallow na określone katalogi w robots.txt + zmiana hasła dostępu do serwera u mnie rozwiązały problem.

Miałem o tyle łatwiej, że mój hosting ma wbudowany skanner i wiedziałem które pliki są zainfekowane.
Link do wypowiedziLink

konto usunięte

Temat: Wirus na stronie. Pomocy !

Może trochę późno ale przeważnie wirusy są dodawane w plikach które są uniwersalne dla wszystkich skórek i stron. Na pewno warto sprawdzić datę modyfikacji plików php po tym najłatwiej się znajdzie gdzie jest linijka szkodliwego kodu.
Jeżeli to nie pomoże to warto zobaczyć pliki
index.php w katalogu głównym domeny
w katalogu skórki
functions.php
head.php
footer.php

Zazwyczaj modyfikacje są na końcu lub na początku pliku (bo tak najłatwiej dodać plik) .

Kolejna rzecz czasami wirusy mają swoje pliki na serwerze które dopiero modyfikują pliki, usunięcie modyfikacji zadziała na kilka dni, gdyż wirus znów dopisze swój kod. Wtedy warto zobaczyć na logi serwera szukając niestandardowych katalogów i nazw plików.

Jeszcze jedna podpowiedź, jeżeli wirus nie występuje na wszystkich stronach serwisu to warto sprawdzić czy nie jest on w plikach typu:
page.php
single.php
category.php

Z takim badziewiem miałem tylko raz do czynienia.

Najgorzej jak jest w bazie to wtedy zaczyna się prawdziwa zabawa i nie da się tego tak prosto opisać.
Link do wypowiedziLink

konto usunięte

Temat: Wirus na stronie. Pomocy !

Piotr K.:
Może trochę późno ale przeważnie wirusy są dodawane w plikach które są uniwersalne dla wszystkich skórek i stron.
Może i "przeważnie", faktycznie jednak mogą zostać dodane gdziekolwiek - nawet do wszystkich plików danego typu.
Piotr K.:
Na pewno warto sprawdzić datę modyfikacji plików php po tym najłatwiej się znajdzie gdzie jest linijka
szkodliwego kodu.
Owszem, ale jedynie w przypadku gdy daty modyfikacji nie zostały w żaden sposób zmanipulowane.
Są przypadki, że "robaczek" przestawia daty na identyczną dla wszystkich plików, co sprytniejsze nadpisują plik nie zmieniając daty ....a nowe pliki tworzą z datą sąsiada.
Piotr K.:
Zazwyczaj modyfikacje są na końcu lub na początku pliku (bo tak najłatwiej dodać plik) .
Na końcu, na początku ....ale w środku też mogą być ...wszak str_replace czy preg_replace nie jest niczym szczególnie skomplikowanym.
Piotr K.:
Kolejna rzecz czasami wirusy mają swoje pliki na serwerze które dopiero modyfikują pliki, usunięcie modyfikacji zadziała na kilka dni, gdyż wirus znów dopisze swój kod. Wtedy warto zobaczyć na logi serwera szukając niestandardowych katalogów i nazw plików.

Zgadza się, zazwyczaj zaszyty gdzieś backdoor - niekiedy popularny FilesMan, oRb, Fx29Sh czy jakiś inny shell
.. niekiedy ukryta posta bramka w postaci requesta z evalem.
Dlatego ważne jest, by faktycznie dokładnie sprawdzić i wyczyścić stronę ....a właściwie to zawartość całego konta.
Równie ważne jest, by załatać luki jakie zostały wykorzystane do ataku - o czym wielu zapomina.
Piotr K.:
Najgorzej jak jest w bazie to wtedy zaczyna się prawdziwa zabawa i nie da się tego tak prosto opisać.
Baza czy nie baza - generalnie po prostu trzeba wiedzieć co się robi i czego szukać.
Jak ktoś zaczyna od sprzątania a nie od analizy, to go może potem wodzić.
Link do wypowiedziLink
Sebastian Matera

Sebastian Matera ....

Temat: Wirus na stronie. Pomocy !

Polecam sprawdzić Webanti.
http://webanti.com
Link do wypowiedziLink
Robert Ciesielski

Robert Ciesielski Specjalista ds.
sprzedaży w firmie
Suport Mirosław
Kryska

Temat: Wirus na stronie. Pomocy !

Witam serdecznie,

Jeśli ktoś boryka się z problemem zainfekowanej strony postawionej na WP to zapraszam do kontaktu.

Pomożemy w postawieniu strony na nogi!

Pozdrawiam
Link do wypowiedziLink
Garry Oldman

Garry Oldman

Temat: Wirus na stronie. Pomocy !

A backupu strony nie ma?
Link do wypowiedziLink
Robert Ciesielski

Robert Ciesielski Specjalista ds.
sprzedaży w firmie
Suport Mirosław
Kryska

Temat: Wirus na stronie. Pomocy !

Garry O.:
A backupu strony nie ma?

Nie zawsze jest dostęp do backup'u.
Jeśli liczymy na backup zapewniany przez hosting, to może też być niewystarczający.
Wirusy są często podrzucane "w trybie uśpionym" - tzn aktywują się za jakiś dłuższy czas po to, aby właśnie zniwelować możliwość pozbycia się go przez backup hostingowy.

Dlaczego?
Hosting często umożliwia przywracanie plików z powiedzmy ostatnich 7 nocy.
Jeśli wirus został podrzucony 14 dni wcześniej to taki backup w niczym nie pomoże. Jedynie odroczy jego ponowną "aktywację" a strona dalej będzie jako "niebezpieczna"
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Dramatyczny spadek ruchu na...




Wyślij zaproszenie do
Anuluj