Jump to content

Problem z malware


Recommended Posts

Od wczoraj walczę z malware na wszystkich moich cmsach (wordpress i joomla), które są na serwerze nazwa.pl. Tracę już wiarę że uda mi się pozbyć tego syfu, w szczególności że infekuje również strony nie podpięte pod domenę. Wygląda to jak atak przez ftp, ale mam ustawiony dostęp tylko na mój adres IP. Wszystkie hasła pozmieniałem od panelu c.admin po FTP do cmsów i nic. Malware wygląda następująco:

1. dodaje przekierowania do .htaccess (różne katalogi):

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} google [OR]
RewriteCond %{HTTP_REFERER} google
RewriteCond %{REQUEST_URI} !(\.js|\.css|\.png|\.jpg|\.jpeg|\.gif|\.svg|\.ttf|\.woff|\.eot)
RewriteRule ^.*$ 7af5df.php [L]
</IfModule>

2. tworzy plik 7af5df.php (różne katalogi)

3. nadpisuje index.php

4 W losowych katalogach wordpressa i joomli tworzy katalog ad2e z wieloma plikami

Sam zmienia uprawnienia dostępu do plików z chmod 444 na chmod 644.

Po usunięciu wszystkich zmian, ustawieniu uprawnień na 444 po nawet niespełna minucie znowu mam nadpisanego malware. Sprawdzałem logi nie mam żadnych nieautoryzowanych logowań. Jedynie nie mam dostępu do loga FTP, ale już poprosiłem o wgląd do niego. Jednak zmiany dokonują się również po całkowitym wycięciu dostępu do FTP. Więc nie spodziewam znaleźć się tam niczego ciekawego.

Wie ktoś jak z tym mogę walczyć?

wycieczki po górskich szlakach grcsystem.pl

imitacja kamienia i skał

Link to post
Share on other sites
23 minuty temu, Jacek J. napisał:

W razie jakby Pan (...)

Co "Wy" z tym "Panem" :D Tutaj jesteśmy na Ty ;)

  • Like 3

Piłeś? Nie jedź (i nie loguj się na forum) !

Siciliano: Robić szeptankę tutaj to jak sprawdzać w zbiorniku poziom paliwa zapalniczką.

Link to post
Share on other sites

Najlepsze rozwiązanie ale za to najbardziej czasochłonne to postawić na drugim czystym serwerze od nowa najnowsze wersje cmsa i ręcznie przenieść treści. Ten wirus replikuje się do wszystkich katalogów na serwerze i nie ma sensu usuwać go na zainfekowanym serwerze w poszczególnych domenach bo i tak się rozmnoży.

Link to post
Share on other sites
4 hours ago, elroy said:

go na zainfekowanym serwerze w poszczególnych domenach bo i tak się rozmnoży.

Hosting to nie komputer z Windows i procesami i programami exe. Hosing tp przede wszystkim kod php i żądania post/get je wywołujące.

 Więc można się pozbyć "obcego kodu" i zabezpieczyć przed ponownym dodaniem, ale najpierw trzeba ustalić metodę ataku i usunąć przyczyny nie tylko jego skutki.

HTTP 200 usługi IT - Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL
- Full Stack Developer - :chatownik:

 

Link to post
Share on other sites

Ok chyba opanowane. Zdarzało mi się że miałem jakiegoś robala ale zwykle to było wycięcie kodu z jednego pliku php. Tym razem miałem backdoora zainstalowanego przez jedną lewą wtyczkę. Usunąłem wszystkie strony z serwera i czyściłem je na moim kompie. Cała procedura trwała 2 dni. I mimo, że nie mam żadnych powiadomień w gsc to strona została wyindeksowana. Kompletnie nie ma mnie na żadnej pozycji, a byłem na 3 miejscu. I teraz nie wiem czy wrócę czy jestem w głębokiej d... 50% klientów jest ze strony internetowej. Jak nie wrócę na miejsce to nawet nie chcę myśleć co będzie..

wycieczki po górskich szlakach grcsystem.pl

imitacja kamienia i skał

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. Terms of Use Privacy Policy