Malware

athlon429 · 2013. április 17. 17:45

Sziasztok!

Malware áldozata lettem, ezért forudlnék hozzátok. web-server.hu tárhelyre fizettem elő, a legfrissebb wordpress motort és plugineket használom - fel is tettem egy pár védelmet biztosító plugint is: Anti-Malware, Wordfence, Better WP Security stb. Nem használok wp-előtagot és admin felhasználói nevet.

Egy ideig úgy tűnt, működik is az oldal, később azonban a Google blokkolta. A víruskeresés során a .htaccess-el és a két fennlévő themeNek a header.php-jában voltak a csúnya dolgok. Az lenne a kérdésem, hogy ezek ellen hogy lehet védekezni? A nem használt témát levettem , a fájlokat kijavítottam a pluginekkel, mit kellene még tennem, hogy még biztonságosabban fusson az oldal?

Előre is köszönöm a segítségeteket!

athlon429

lorincz-andras-2 · 2013. április 17. 20:34

Szia!

Én a helyedben annak próbálnék utána járni, hogy a header.php -ban lévő “furcsa” dolgok hogyan kerültek oda.

Vannak olyan sablongyűjteményes oldalak, ahol direkt ingyen adnak sablont, hogy letöltsék, és abba olyan kódot tesznek, aminek a segítségével megpróbálnak bejutni az oldaladra. A kezdők a célpontjuk és olykor az a terv, hogy aztán a szerverről leveleket küldjenek ki. Mert a spam = PÉNZ! (Akik csinálják.) A másik, hogy linkeket tesznek ki. A harmadik cél meg az, hogy törlik a főoldalt vagy mindent és kiteszik a saját logo-jukat, hogy az is megvolt nekik. Ez utóbbi nem nyereségvágyból követődik el, más okai vannak.

Ebből ugye az következik, hogy nemhivatalos oldalról nem szabad letölteni semmit.

Nem lehet, hogy te is így jártál (magad raktad fel a “hátsókapus” ingyen sablont)? Vagy az FTP-d szerezték meg? Vagy a tárhely olyan, hogy ott volt valami? (Stb.)

Ezt kell elolvasni/betartani:

http://codex.wordpress.org/Hardening_WordPress

egyszer (többször) össze lett szedve ezen a fórumon, hogy mire érdemes figyelni, pontokban. Azokat elolvastad?

athlon429 · 2013. április 17. 20:40

Valóban , a sablon ingyenes volt (SmartBiz), de megbízhatónak tűnt a weboldal

lorincz-andras-2 · 2013. április 17. 21:53

Szia!

Az még nem is baj, ha ingyenes, csak ha nem a hivatalos oldalról töltesz le (azokat ellenőrzik, úgy tudtam http://wordpress.org/extend/themes/) akkor ugye bárki bármit betehet a kódba és letöltésre kiteheti a saját oldalára.

Itt is írnak erről: http://wpmu.org/why-you-should-never-search-for-free-wordpress-themes-in-google-or-anywhere-else/

“Free wordpress theme” szóra keresve elemzi az ember, milyen találatok jöttek ki, azokon pedig milyen sablon vannak. (Nagy részükben elkódolások vannak, amik lehetnek ártó szándékú kódok /linkek is.)

Nálad nem biztos, hogy ez volt, ezért is írtam, hogy érdemes kicsit utánajárni, vajon hogy kerülhetett fel a “malware”.

Szóval érted. Mit akarok mondani.

egg · 2013. április 19. 08:45

nezd a securityrol meg annyit hogy a better security amit letoltottel azzal gyonyoruen be lehet allitani rengeteg mindent koztuk akar azt is hogy figyelje a fajlok valtozasat es ha valami bele nyul akkor rogton ugat email stb… de mar a htaccess beallitasa is nagyon komoly! viszont 404 figyelest csak akkor kapcsold be ha biztos vagty abban hogy nincs sok atiranyitasod a hatterben mert kulonben pikk pakk kizar teged az oldalrol(defaultban asszem 15 percre) … azert is rohogtem amikor lattam a cikket manapsag hogy brute force-val … mert egy jol beallitott better securityval kb 2 perc utanna meg az ip is banned listara kerul

athlon429 · 2013. április 19. 14:52

Köszi!

Hát a better security van, hogy engem is kizár, sokszor gondolok itt már elmebajra nálam! A .htaccess-t igyekeztem jól beállítani, ezt másoltam be neki: http://pastebin.com/5Hw9KZnW . A helyzet jelentősen javult azóta, mindennap végzek scannelést. A pluginekkel kell még vigyáznom, most tettem fel a register plus refux nevűt, és az után egyből fel is ment egy újabb féreg.

concorde · 2013. május 31. 08:07

Helló!

Az én oldalam is így járt, a htaccess előző mentésével írom felül, egyébként átirányítódik az oldal. Az avast néha trójait jelez. Valaki tudna segíteni valami használható ötlettel, hogy a mit tegyek?

Kösz!

concorde · 2013. június 1. 08:16

Megoldódott a problémám, érdekes a helyzet csak azért írom le, hogy másoknak is segítsek vele aki szintén így jár. Az FTP jelszót lopták el mint rájöttem…átírtam, a htaccess-t egy előző mentésből felülírtam mert az csinált random linkekkel átirányítást a Google keresője jött be az indexelt linkeknél. Megtaláltam a header.php-ben egy szkriptet amire az avast beriasztott feszt de csak chrome-nál és IE alatt…ezt is felülírtam egy előző mentésből és már megszűntek a hozzászólás lehetőségeknél is a spam-ek. Az avast iFrame AHU-nak látta a trójait van egy másik Drupal oldalam az is így járt…ráadásul csodálkoztam, hogy az oldalam csúszik hátrafele a találati listán.

wasserstart · 2013. október 15. 19:34

Én megkerestem a malware-t a killmalware.com-mal majd kiirtottam simán kézzel és kész : kitesurf Még aznap feloldotta a google a blokkolást. :mrgreen: