Wordpress törés js/kryptik trojan
Sziasztok!
Az ESET által is közzétett jelenség (Security blog infected WordPress exploit | ESET ThreatBlog) az egyik tárhelyemen is feltűnt ahol csak Wordpress oldalak vannak és nem tudok mit kezdeni vele.
A fájlokra bejelez az összes nagyobb vírusírtó (AVAST, AVG, ESET, stb) és valahogy meg akarok szabadulni ettől a dologtól. A fájlokat leszedtük, spybot search and destroy és víruskereső is végignézte, de nem találtunk semmit.
A trójai a JS/Kryptik és talán az se véletlen hogy a "JS Kryptik wordpress" keresést felajánlja a Google, tehát ez tuti valami általános probléma. Egy ilyen cikket már találtam Kruska Roland, PHP programozás » Wordpress fertőzőtt php fájl .cache mappával de nem volt rejtett cache mappa sehol.
Ötletek? Ki tudna abban segíteni hogy megszüntessük ezt?
re: Wordpress törés js/kryptik trojan
Mi a jelenség?
Nekem is volt anno hasonló problémám, amikor egy hivatkozás lett átirányítva egy "megbízhatatlan" oldalra. Kikapcsoltam minden behúzott JS-t és megszűnt a hiba, nekem sem talált semmilyen vírust a szolgáltató a tárhelyen, viszont nekik is élt a riasztás. Végignéztük a log-ot és az utoljára (abban az időszakban) módosított fájlokat, de a PHP-kben sem találtunk semmilyen szembeötlő változást.
Akkor szűnt meg a dolog, amikor lecsökkentettem a behúzott adatokat. Nekem pl behúzott képek is voltak, amik más oldalról töltöttek be, kiszedtem amit tudtam, és megszűnt a jelenség (ami egyébként riasztás volt, és egy fura dupla oldalbetöltés...)
Persze ez csak tipp, de érdemes megnézni!
re: Wordpress törés js/kryptik trojan
Az én ötletem nem fog tetszeni, bár leírom, hogy ilyen esetben mit érdemes tenned. (Főleg így, hogy nem tudod, hogyan lett fertőzött az oldal, nem ismert a forrás)
Az első és legfontosabb dolog, hogy tiszta legyen a géped. Reinstall, az egész op rendszert! Ez eltarthat egy ideig. Nem érdemes 0 tudással vírust meg fertőzést irtani, mert jó eséllyel nem fog sikerülni. (nod stb ilyenkor néha nem ér semmit)
változtasd meg az FTP jelszavadat. Meg minden jelszót, mysql elérhetősségét stb, szóval mindent! A tárhelyedet a régi adatokkal sehogy ne lehessen elérni.
Ha ez megvan, és tiszta a géped, akkor töltsd le hivatalos forrásból a wp-t és a biztonsági msql mentésedből állítsd visszta/telepítsd fel újra az összes oldalad, ami azon a tárhelyen volt. Legfrisebb plugn/wp -k lesznek fel.
Ez a legbiztosabb módja, abban az esetben, ha nem tudod meghatározni, pontosan hogyan került fel a fertőzés. De szerintem jó esélyed van arra, hogy nem a wp-n keresztül fertőztek le, hanem ellopták az FTP jelszavadat, és jelenleg is fertőzött a géped. Ezért írtam, amit írtam. És még egy: senki másnak ne add meg az ftp*det, ismerősnek vagy nem tudom, nehogy eseteleg ő visszafertőzze..ha esetleg ő lett volna a forrás.
Ha ezt megteszed, tiszta lesz a géped, tiszta oldalad lesz. FTP-t nem mentünk, ftp-t nem gépelünk be. Mert fertőzéskor megszerezhetik. Wp-t meg frissíteni kell rendszeresen, de azt úgyis tudod.
Az én javaslatom ez, vagy megfogadod, vagy nem. Sok sikert!
re: Wordpress törés js/kryptik trojan
Nem vagyok profi úgyhogy javítsatok ha hülyeséget írnák.
Amikor leszeded a javascript fájlokat a szerverről és azokat ellenőrzöd arra nem fog jelezni.
Esetleg egy Frissítések => Újratelepítés most segít.
Azért a töröld az oprendeszered ez egy kicsit túlzás szerintem , kasperskyből van bootolható lemezes verzió azt futtasd le.
re: Wordpress törés js/kryptik trojan
A jelenség az hogy beriaszt a vírusvédő, de egyelőre más nincs. Itt egy carousel JS a hibás ami meghív valamit (azt már nem tudom hogy mit, mert blokkolja az antivirus).
Ugyanez a gond, hogy nem találunk semmit. A template igényli ezt a JS-t, de nekem úgy tűnik hogy nem ez a hiba forrása.
Az oldal használ Timthumb-ot, aminek korábban voltak gondjai, de azt most frissítettük.
Idézet:
Csurga eredeti hozzászólása
Mi a jelenség?
Nekem is volt anno hasonló problémám, amikor egy hivatkozás lett átirányítva egy "megbízhatatlan" oldalra. Kikapcsoltam minden behúzott JS-t és megszűnt a hiba, nekem sem talált semmilyen vírust a szolgáltató a tárhelyen, viszont nekik is élt a riasztás. Végignéztük a log-ot és az utoljára (abban az időszakban) módosított fájlokat, de a PHP-kben sem találtunk semmilyen szembeötlő változást.
Akkor szűnt meg a dolog, amikor lecsökkentettem a behúzott adatokat. Nekem pl behúzott képek is voltak, amik más oldalról töltöttek be, kiszedtem amit tudtam, és megszűnt a jelenség (ami egyébként riasztás volt, és egy fura dupla oldalbetöltés...)
Persze ez csak tipp, de érdemes megnézni!
re: Wordpress törés js/kryptik trojan
Ez tényleg erős kicsit. Az nyilván OK hogy meg kell győződni arról hogy tiszta a gépem. Erre ott a spybot és kétféle vírusvédő. Az is OK hogy nem tárolom le az FTP és megváltoztatom, ezen is túl vagyunk. Plugin frissítések is egyértelműen rendben vannak.
De ha ezeket megcsinálom akkor mi baja lehet a gépemnek? Ráadásul ez egy shared hosting, elég sok oldalt kellene újratelepíteni.
A tudásom szerencsére nem nulla, viszont a szolgáltató és a programozó értenek hozzá, nem én csinálom az írtást. A gép újrahúzás + minden újratelepítés szerintem itt barokkos túlzás. De ha tényleg nem tudom megoldani máshogy akkor lehet hogy ez lesz a vége. Egyelőre viszont próbálom "olcsóbban" megúszni.
Idézet:
deadisland eredeti hozzászólása
Az én ötletem nem fog tetszeni, bár leírom, hogy ilyen esetben mit érdemes tenned. (Főleg így, hogy nem tudod, hogyan lett fertőzött az oldal, nem ismert a forrás)
Az első és legfontosabb dolog, hogy tiszta legyen a géped. Reinstall, az egész op rendszert! Ez eltarthat egy ideig. Nem érdemes 0 tudással vírust meg fertőzést irtani, mert jó eséllyel nem fog sikerülni. (nod stb ilyenkor néha nem ér semmit)
változtasd meg az FTP jelszavadat. Meg minden jelszót, mysql elérhetősségét stb, szóval mindent! A tárhelyedet a régi adatokkal sehogy ne lehessen elérni.
Ha ez megvan, és tiszta a géped, akkor töltsd le hivatalos forrásból a wp-t és a biztonsági msql mentésedből állítsd visszta/telepítsd fel újra az összes oldalad, ami azon a tárhelyen volt. Legfrisebb plugn/wp -k lesznek fel.
Ez a legbiztosabb módja, abban az esetben, ha nem tudod meghatározni, pontosan hogyan került fel a fertőzés. De szerintem jó esélyed van arra, hogy nem a wp-n keresztül fertőztek le, hanem ellopták az FTP jelszavadat, és jelenleg is fertőzött a géped. Ezért írtam, amit írtam. És még egy: senki másnak ne add meg az ftp*det, ismerősnek vagy nem tudom, nehogy eseteleg ő visszafertőzze..ha esetleg ő lett volna a forrás.
Ha ezt megteszed, tiszta lesz a géped, tiszta oldalad lesz. FTP-t nem mentünk, ftp-t nem gépelünk be. Mert fertőzéskor megszerezhetik. Wp-t meg frissíteni kell rendszeresen, de azt úgyis tudod.
Az én javaslatom ez, vagy megfogadod, vagy nem. Sok sikert!
re: Wordpress törés js/kryptik trojan
Az egész szerver összes cuccát szedtük le, tehát elvileg a JS akkor is meghívja amit meg kell. Viszont az tény hogy így sem jelzett semmit a víruskereső, se a spybot, ami azért fura.
Idézet:
dragon1993 eredeti hozzászólása
Nem vagyok profi úgyhogy javítsatok ha hülyeséget írnák.
Amikor leszeded a javascript fájlokat a szerverről és azokat ellenőrzöd arra nem fog jelezni.
Esetleg egy Frissítések => Újratelepítés most segít.
Azért a töröld az oprendeszered ez egy kicsit túlzás szerintem , kasperskyből van bootolható lemezes verzió azt futtasd le.
re: Wordpress törés js/kryptik trojan
Meg lehet tudni, hogy melyik az oldal? Hátha sikerül találni valamit. Több szem többet lát alapon.
re: Wordpress törés js/kryptik trojan
Privi ment :) Egyelőre nem akarom közkincsé tenni, de az tény hogy a kódban nincs semmi, csak az a fránya JS.
Idézet:
g-easy eredeti hozzászólása
Meg lehet tudni, hogy melyik az oldal? Hátha sikerül találni valamit. Több szem többet lát alapon.
re: Wordpress törés js/kryptik trojan
A nyakamat tenném rá, hogy ezt a js-t semmi (más) nem használja:
Itt érhető el: http://pastebin.com/gUgtD6Ap
Csak úgy látható a forrásban, ha elhúzod jobbra az alsó scrollert. Tipikus beinjektált mind a kódolás, mind a html-be való beszúrás. Wp nem így teszi be.