Sziasztok!
WP 3.0.5 oldal, aktuális mentésekor feltűnt, hogy van 2 furcsa file a főkönyvtárban.
Erre megnézem az index.php-t, és van a végén egy -szerintem- plusz sor:
?>
A két file pedig így kezdődött:
<? eval(gzuncompress(base64_decode(' és itt jött a sok kódolt adat…
Egyre gyanúsabb lett a dolog.
Az oldalamon egyébként semmi nem tűnt fel. Max egy kicsit lassú lett, de ezt a folyamatos bővítésnek tudtam be.
Theme: Constructor
Plugin: Akismet (kikapcsolva), All-in-one SEO, Azigen, Contact form 7, google-sitemap generator, Theme-my-login, wp e-commerce, wp-polls, yd-recent-posts-widget (kikapcsolva)
Az index.php-t a legutóbbi mentésére lecseréltem.
Tapasztalt szakik: Az adatbázisomba is belemászhatott? Mindent újra felépíteni elég macera… Főleg az e-commerce miatt.
A Security Scan-t egy másik oldalamon már kipróbáltam, az oldal lehalt tőle.
FTP jelszót már módosítottam.
+1 kérdés, mi számít biztonságos FTP-zésnek? Winscp, Filezilla… ?
whois a domainre:
Domain Name: ALCOBRO.NET
Registrant:
Private Person
Andrej A Verba (sdqazxswedcvfrtgbnhyujmkiol@gmail.com)
ulica Universitetskaya 96a
Kemerovo
,200133
RU
Tel. +7.322127925004
Creation Date: 15-Nov-2010
Expiration Date: 15-Nov-2011
Domain servers in listed order:
ns3.everydns.net
ns4.everydns.net
Administrative Contact:
Private Person
Andrej A Verba (sdqazxswedcvfrtgbnhyujmkiol@gmail.com)
ulica Universitetskaya 96a
Kemerovo
,200133
RU
Tel. +7.322127925004
Technical Contact:
Private Person
Andrej A Verba (sdqazxswedcvfrtgbnhyujmkiol@gmail.com)
ulica Universitetskaya 96a
Kemerovo
,200133
RU
Tel. +7.322127925004
Billing Contact:
Private Person
Andrej A Verba (sdqazxswedcvfrtgbnhyujmkiol@gmail.com)
ulica Universitetskaya 96a
Kemerovo
,200133
RU
Tel. +7.322127925004
I Love U Russia..
Bajtársak:
http://blog.vivekjishtu.com/
http://forum.joomla.org/viewtopic.php?f=432&p=2428498
Kicsit utánanéztem:
a domain ahova a dolog mutat a gogax.com-on hostoldóik…
dedikált gépeket adnak bérbe. van bejelentő címük:
abuse@gogax.com
…
pár percet érdemes az ilyesmikre rászánni… mondjuk ahogy elnéztem mindenféle bejelentő oldalakon 100+ náluk üzemelő offending ip van kb…
Köszi az infókat, de sajnos a kérdéseim még megmaradtak.
Szerinted az adatbázis is fertőződött?
Újra kell építenem mindent?
Mi számít biztonságos FTP-nek?
Nem csak nekem vannak gondjaim a hívatlan látogatókkal:
szerintem van egy kis különbség egy szerver megtámadása, és a te honlapod fertőzése között! :rolleyes:
egyébként mintha még mindig nem tudnánk, hogy melyik lapról is van szó pontosan… :unsure:
Több oldalon jelent meg ugyanaz a fertőzés.
hgrg direktben kért és kapott infókat.
Pl. www.napelemguru.hu
Azóta kiderítettem a következőket:
A wp-admin könyvtárban levő index.php-t ugyanígy kiegészítette a saját kódjával.
Létrehozott a főkönyvtárban és a wp-admin könyvtárban is .htaccess file-t.
Fura, de a főkönyvtárban is létrejött egy virused.zip, valamint egy rejtett .log könyvtár, ahol temérdek html file van.
Úgy néz ki az adatbázist nem bántotta.
Bocsánat, a virused.zip már hgrg terméke. 
igen… tartalmaz pár file-t amikben láthatod a “vírus” visszafejtett változatát… a legalsó szintig nem mentem el,de már kb érthető h mit is csinál… az 1.php ill 2.php pedig a használt függvényeket írja ki mert persze azok is kódolva vannak
Gratulálok (és egy kicsit irigykedek), hogy ez neked érthető. Nekem kb. olyan, mintha egy már rég kihalt japán nyelvjárást kellene olvasnom.
A többi oldalról már úgy tűnik leirtottam az “aranyost”, most már sorra kerítem ezt is.
Már csak 1 kérdésem maradt: Mi az ajánlott, biztonságos FTP javaslat?
Már nem merek semmilyen jelszót eltároltatni a böngészővel, az FTP programokkal, de azt nem tudom, hogy a legutóbbi munkamenetről marad-e valamilyen nyom. Mert akkor 1 oldal mindig nyitott könyv lesz az aktuális támadónak.
SFTP-t érdemes használni… vagy FTP over SSH-t legalább…
hogy miért? mert különben nem lesz titkosított az átvitel, FTP eseténa jelszó plaintextben megy át…
Mindenesetre (az FTP-kapcsolat-kérdésen túl) a saját gépeden át kellene engedni egy jópofa víruskergetőt (pl. NOD32), mert 99%, hogy a baj gyökere ott leledzik. Ha nem teszed, akkor gondosan és rendszeresen visszafertőzöd magadat, bármennyire is biztonságos FTP-t használsz.
igen megintcsak sikerült a számomra alapvetőt dolgot kihagyni:
ha vírusos gépről kapcsolódsz akkor elszedhetik a jelszavadat… ez ilyen egyszerű…
csak olyan gépről dolgozz amiben megbízol…
Csak a saját gépemről lépek fel ezekre az oldalakra. A gépemen vásárolt NOD32 fut már több éve, ezen kívül hetente futtatom a Malwarebyte's anti Malware és a Spybot Search & Destroy párost.
Ennek ellenére történtek ezek az esetek.
Az első alkalommal felvettem a kapcsolatot a NOD32 forgalmazóival. Távirányítással (2*is) próbálta megtalálni a vírust, ami nem sikerült.
Ekkor telepítettünk egy web naplózó programot, ami valószínűsített egy fertőzést.
Ezt nekem kellett leszednem a gépről, mert egyik program sem azonosította be. A file még mindig ott van egy spec könyvtárban a gépemen, de a közben 10-12 alkalommal frissített NOD32 sem ismeri még fel.
Ennyivel járnak előbb az írók mint az irtók. 
nos amit mondani tudok: ne legyen aktív a winyo miközben nézed… pld én nemes egyszerűséggel beraknámegy másik gépbe, valamiféle linux verzióval nézetném át…
kaspersky - és ha lecserélnéd a vásárolt nod-ot, nyugodtan keress meg! 
Köszi mano, most hosszabbítottam 3 évet, ha letelt, kereslek.
A “,ha…” rész felesleges és ízléstelen megjegyzésed volt - szerintem.
én jóhiszeműen azt hiszem, hogy csak egy fanyar megjegyzés akart lenni…