Bejelentett támadó weboldal lettem :-( Mit tehetek?

Archívum 2006-2018.11.09 biztonsag
#1

Sziasztok,











Ma reggelre bejelentett támadó webhellyé váltam, pedig tegnap még minden rendben volt, és nem is töltöttem fel semmit.





Mit tudok tenni, hogy ez megszűnjön?











Úgy sejtem, hogy vírus, de hogyan lehet a WP-ből kiszedni?











Mivel még semmi ilyesmi tapasztalatom nincs, ha tudtok segíteni, az sokat jelentene.











Köszönettel,





boresuta

#2

A helyzet az, hogy a google nem egyiknapról a másikra minősít át, hanem a probléma valószínűleg régóta fennállt, csak nem tűnt neked fel.











Nos, a megoldást három részre bontanám.











Az első a tűzoltás, vagyis megnézzük, hogy mi a gond, és ezt elhárítjuk. Általában egy bugos, hibás, vagy netán direkt erre a célra szánt sablonon keresztül, vagy FTP adatok eljutásával lehet ilyen csodás kártékony kódokat az oldaba juttatni, amit a google ilyen módon jelez.











Nézd meg az oldal forrását kritikus szemmel, hogy találhatóak-e benne ismeretlen domainekről JS és hasonló hívások, vagy olyan kódok, amikről fogalmad sincs, hogy az micsoda.











Én letölteném a teljes fent tárolt kód állományt, vagyis a tárhelyről mindent, kihagyva a wp-content/upload wp-content/blogs.dir wp-content-upgrade könyvtárakat, ha vannak.











Ezekben keress rá ezekre a kifejezésekre total commanderrel a következő szavakra:






    [*]iframe

    [*]eval

    [*]base64_decode

    [*]location.replace

    [*]self.location

    [*]urldecode

    [/list]






    Gyanus fájlok és könyvtárak a themes alkönyvtárban bárhol:








      [*].xcache könyvtár (a pont-al jelölt könyvtárakat, nem biztos, hogy mutatja az ftp szerver)

      [*]ttf könyvtár

      [*]data.dat fájl

      [*]foot.dat fájl

      [*]template.tpl fájl

      [/list]






      Ha találtunk olyan fájlt, amiben kártékony kód van, akkor a fájl módosítási idejét érdemes visszanézni, és hasonló időben módosult állományokat keressünk.





      A .htaccess fájlt se hagyjuk ki az átnézés alól, ugyanis itt is lehetnek megbúvó kártékony dolgok, ezt folytassuk a wp-content/advanced-cache.php -val. Érdemes bekapcsolni a sor tördelést, ugyanis hajlamosak a kedves kártevők olyan helyre tenni a kódot, ami kicsúszik a szerkesztő ablakból, de attól még ott van.





      A második lépés a miért kiderítése.


      Valószínűleg, nem megbízható sablonból (aminek kódolt a footere, headere), vagy nem megbízható forrásból származó bővítménnyel, esetleg ellopott hozzáféréssel jutottak be. FTP jelszót cseréljünk mindenképpen. A használt, nem wordpress.org ról letöltött sablonokat, és bővítményeket nézzük át, hogy vannak-e kódolt részek benne (a wordpress.org-ra ilyen nem kerülhet fel, ezt szigorúan ellenőrzik).


      Ha régi WordPress-t használunk, akkor frissítsük a legújabbra.





      Nem utolsó sorban pedig nézzük át a felhasználókat, hogy képződtek-e új, magas jogosultsági szintű felhasználók, pl Site Admin, Admin.





      Valamint, bár nem valószínű, hogy a jelszavunkat ellopták,( mivel a WordPress egyrészt MD5 hashelve tárolja a jelszavakat, ami egy nem visszafejthető algoritmus, plusz ehhez használ 2.8 óta egy titkosítást is) de azért adjunk meg egy új jelszót, csak úgy babonából.








      A harmadik rész pedig, a felülvizsgálat, vagyis ha már meggyőződtünk az oldalról hogy tiszta, és mindent letakarítottunk, akkor a google webmastertools oldalon (https://www.google.com/webmasters/tools/) itt vegyük fel a domain nevünket, valamilyen módon a felajánlottak közül igazoljuk, hogy mi vagyunk a tulajok. Miután ez megtörtént a Diagnosztika > Ártalmas szoftverek oldalon tudunk felülvizsgálatot kérni (https://www.google.com/webmasters/tools/malware?hl=hu)





      Nem rég szívtam hasonlóan egy oldallal, azért ilyen friss az élmény...
#3

Korábban írtam róla: http://hoppare.com/bejelentett-tamado-webhely.html

#4

Én is írtam már itt róla, de nem találom :S

#5

Szervusz!











Első lépésként én letőlteném ftp-n a teljes wordpress-t.





Második lépésként, átnézném a teljes sablon állományt ami .php kiterjesztésű.





Szokatlan kódokat keresnék benne. pl.:









Code:





&#104&#116&#116&#112&#58&#47&#47&#114&#97&#122&#111&#114&#115&#116&#117&#100&#105&#111&#46&#111&#114&#103&#47&#97&#100&#118&#116&#100&#115&#47&#111&#117&#116&#46&#112&#104&#112&#63&#115&#95&#105&#100&#61&#49


stb...


Álltalában a header.php vagy footer.php fájlokban érdemes keresni az ártalmas kódot!


Ha megtaláltam a "furcsa" kódot, akkor bejelenteném a Google Webmaster Tools az alábbi módon:


hozzáadom az eszköztárhoz az adott oldalt és Felülvizsgálat kérelmezése… (Webmester eszköztár jobb oldalt)





Egyenlőre ennyit tudok segíteni! Napok kérdése mig visszaáll! Viszont ha nem sikerül, vedd fel velem a kapcsolatot!
#6

Amikor én jártam így, ez alapján jártam el:





http://blog.webpozitiv.hu/bejelentett-tamado-webhely-mit-tegyek/





– sikerrel.

#7

Itt egy plugin is akár, ami segíthet a keresésben. http://ocaoimh.ie/exploit-scanner/

#8

Köszönöm szépen mindannyiótok segítségét!

#9

Én is ezzel küzdök most több oldalamnál. A szolgáltató log-olása szerint jelszólopás esete forgott fenn, valami külföldi IP-ről jött valaki, aki módosította az index.php file-okat. Meg még mást is szerintem, még küzdök vele… :frowning: