Wirus na serwerze

[Gość]

Witam,

 

mam problem - polega on na tym, że niektórzy moi użytkownicy zgłaszają obecność wirusa na mojej stronie, ja nigdy tekowego problemu nie miałem, skanowanie adresu url ukazuje, że 2 skanery z 40 wykryły zagrożenie, jak się pozbyć problemu?

Edytowano Czerwiec 21, 2013 przez patryk0493 (zobacz historię edycji)

[Gość Progruś27]

Witam,

 

Może tak wpierw podał byś swoją stronę nikt tu nie jest alfą i omegą aby zgadywać która to twoja strona z jakiego hostingu korzystasz ?Wirus może być jak i w kodzie jak i w plikach na serwerze.

[Łukasz Ostrowski 593]

Wordpress czy Joomla?

[Gość Kamikadze]

Popatrz często skrypty się doklejają na końcu lub na początku templatki.

[Gość Progruś27]

Szczególnie przypatrz się kodzie <iframe src=""></frame> lub zaawansowany kawałek kodu java script. Zapewne na serwer logujesz się za pomocą total commandera niech zgadnę

[Edart 239]

Wordpress czy Joomla?

dobre pytanie, hehe

[Gość nrm]

Wirus może być jak i w kodzie jak i w plikach na serwerze.

 

Czym to się różni?

[Gość Progruś27]

A w pliku który pobierasz z strony nie może być program ? Nie widziałem strony więc strzelam i pisze mu łopatologicznie gdzie może być problem

[Gość]

Tutaj posiadam swoje strony :

http://iniclan.mzone.pl/

Wśród skryptów jest WordPress oraz Webspell.

[Gość Progruś27]

Mógłby Pan podrzucić mi plik index.php ? Lub jeśli sobie Pan poradzi proszę sprawdzić czy nie dodał wirus kodu w JavaScript to co pisałem. wyżej. Zazwyczaj wirus dodaje kod i powinien być za tagiem zamykącym <html>.

[Pan Kot 1535]

A najprościej to będzie znaleźć typ wirusa czy jakiekolwiek informacje o nim via user/stronka do analizowania, a następnie przeszukać nawet głupim catem i grepem wszystkie pliki pod kątem danego kodu.

[Gość Progruś27]

Na moje trzeba by było cały kod strony sprawdzić. Bo nawet jeśli mu znajdzie nie masz pewności że to będzie to. Ja raczej stawiam na kod w Javascript.

[kafi 2425]

Grep i cat powiadasz... Problem w tym, że większość szkodliwego kodu to coś w rodzaju

 

eval(base64_decode(convert_uudecode( <ciach!>

[Pan Kot 1535]

No i jaki problem grepować po base64? .

 

Chyba, że ktoś używa w swoich skryptach.

Edytowano Czerwiec 21, 2013 przez Archi (zobacz historię edycji)

[Gość Progruś27]

Najlepsza metoda na tego wirusa to usunięcie kodu ręcznie a nie zabawa linuxowymi zabawkami i tak dużo nie da jeden problem znaleźć go. Błądzicie i to strasznie.

[Marek607 655]

Najlepsza metoda na tego wirusa to usunięcie kodu ręcznie a nie zabawa linuxowymi zabawkami i tak dużo nie da jeden problem znaleźć go. Błądzicie i to strasznie

 

Ale nikt nie mówi tu o automatycznym usunięciu, tylko znalezieniu szkodliwego kodu - jak jest kilkaset plików i kilka poziomów katalogów to taki grep ci pokażę potencjalne źródła problemu - oczywiście trzeba to ręcznie zweryfikować co można wywalić a co nie, i przede wszystkim znaleść lukę.

Edytowano Czerwiec 21, 2013 przez Marek607 (zobacz historię edycji)

[Pan Kot 1535]

Najlepsza metoda na tego wirusa to usunięcie kodu ręcznie a nie zabawa linuxowymi zabawkami i tak dużo nie da jeden problem znaleźć go. Błądzicie i to strasznie.

 

cat i grep katalogu, w którym być może masz kilkaset skryptów, a wirus doczepia się metodą random. Nic nie da? No to powodzenia w szukaniu ręcznym. Nie każdy ma WordPress'a na stronce, w którym skrypty ograniczają się do liczby dwucyfrowej, którą i tak żaden admin by nie przeszukiwał "ręcznie".

touch lista.txt
for PLIK in `find /sciezka/do/folderu -type f` ; do
WYNIK=`cat $PLIK | grep -i "Base64" | cut -f1 -d:`
CZYCOSJEST=`echo $WYNIK | wc -l`
if [ $CZYCOSJEST -ne 0 ]; then
echo "Znalazlem cos!"
echo $PLIK $WYNIK >> lista.txt
fi
done

Napisany w 30 sekund "na kolanie" . Powodzenia w ręcznym szukaniu.

 

Edit:

Wiedziałem, że o czymś zapomniałem. Fixed echo i grep .

Edytowano Czerwiec 21, 2013 przez Archi (zobacz historię edycji)

[Gość Progruś27]

Dobry koder poradzi sobie. Zapewne uważasz że cat i gept znajdzie kod i może jeszcze usunie za ciebie. Wiesz nie każdy koder jest taki sam może są tacy którzy jak się za coś biorą robią to dokładnie wdrażając się a nie np. zrobić to tak aby było kod zawsze może się posypać. Szkoda że nie ma programów do pisania np. systemów na tej samej zasadzie. Zabawne. Hm Panie z biznes-host.pl na Panu miejscu zamiast udawać mądrego i wypowiadać się zaczął bym kombinować na zabezpieczenia serwerów przed atakami chociażby ddos a czemu bo słyszałem że jeśli takie miejsce zajdzie to blokujecie serwer klientom. Kto cierpi klient czy firma ? Dla mnie to amatorszczyzna więc Panu z całym szacunkiem podziękuję za wypowiedzi.

 

Ps. Dziwni są tacy dla mnie że zamiast liczyć na siebie i na swoją wiedzę używają programów. Program jak człowiek też może się pomylić.

 

[kix 28]

Archi, grep powinien być z parametrem -i

 

Progruś, daj se spokój, boś ciele a nie administrator i pojęcia zielonego nie masz.

[Gość Progruś27]

No zapewne tak jak piszesz powodzenia

[kafi 2425]

Widać Archi, że nie miałeś z tym żadnej praktycznej styczności

Owy grep, który wywołałeś pokaże w większości... poprawny kod aplikacji.

 

Bo problem w tym, że owe wywołanie base64 może być realizowane w całkiem dziwaczne sposoby,

właśnie po to, aby takich leniwych administratorów ogłupiać Ot np. taki - wzięty z pierwszego lepszego phpshella

$s_func="cr"."eat"."e_fun"."cti"."on";$b374k=@$s_func('$x,$y','ev'.'al'.'("\$s_pass=\"$y\";?>".gz'.'inf'.'late'.'( bas'.'e64'.'_de'.'co'.'de($x)));');@$b374k(__TU_KOD__)

Edytowano Czerwiec 21, 2013 przez kafi (zobacz historię edycji)

[Gość]

Czy jest możliwość skanowania automatycznego czy trzeba ręcznie szukać?

[www.mzone.uk 1200]

Z tego co widzę w historii Twoich ticketów chyba nie zgłaszałeś tego do nas.

 

Napisz ticket z prośbą o przeskanowanie konta, wtedy dostaniesz logi co wykryło.

 

 

[Pan Kot 1535]

Napisałem tylko przykład. Dzięki @kix bo o tym też zapomniałem .

 

@kafi

A tu wiesz masz całkowitą rację, z tym akurat się nie spotkałem. Ale to też można załatwić łącząc sedem czy innym ustrojstwem stringi z pominięciem znaków zdefiniowanych (np. . ; "). Coś by się dało wykombinować. Kwestia jest tego rodzaju, że do tej pory jeszcze nie było mi to potrzebne.

[Gość]

Z tego co widzę w historii Twoich ticketów chyba nie zgłaszałeś tego do nas.

 

Napisz ticket z prośbą o przeskanowanie konta, wtedy dostaniesz logi co wykryło.

 

 

 

Zgłosiłem, to chyba najlepsze rozwiązanie.