Oldal: 1 / 2 12 UtolsóUtolsó
Eredmény: 1 - 10 (18) összesen

Téma: Wordpress törés js/kryptik trojan

  1. #1
    Mindig van lejjebb Wirg logója
    Csatlakozott
    08-06-04
    Hely
    Budapest
    Hozzászólás
    1.988
    Begyűjtött 413 köszönetet
    215 hozzászólásával

    Alapbeállítás Wordpress törés js/kryptik trojan

    Sziasztok!

    Az ESET által is közzétett jelenség (Security blog infected WordPress exploit | ESET ThreatBlog) az egyik tárhelyemen is feltűnt ahol csak Wordpress oldalak vannak és nem tudok mit kezdeni vele.

    A fájlokra bejelez az összes nagyobb vírusírtó (AVAST, AVG, ESET, stb) és valahogy meg akarok szabadulni ettől a dologtól. A fájlokat leszedtük, spybot search and destroy és víruskereső is végignézte, de nem találtunk semmit.

    A trójai a JS/Kryptik és talán az se véletlen hogy a "JS Kryptik wordpress" keresést felajánlja a Google, tehát ez tuti valami általános probléma. Egy ilyen cikket már találtam Kruska Roland, PHP programozás » Wordpress fertőzőtt php fájl .cache mappával de nem volt rejtett cache mappa sehol.

    Ötletek? Ki tudna abban segíteni hogy megszüntessük ezt?



  2. #2
    Képszerkesztő Csurga logója
    Csatlakozott
    10-10-17
    Hely
    Hmvhely
    Hozzászólás
    1.101
    Begyűjtött 317 köszönetet
    206 hozzászólásával

    Alapbeállítás re: Wordpress törés js/kryptik trojan

    Mi a jelenség?

    Nekem is volt anno hasonló problémám, amikor egy hivatkozás lett átirányítva egy "megbízhatatlan" oldalra. Kikapcsoltam minden behúzott JS-t és megszűnt a hiba, nekem sem talált semmilyen vírust a szolgáltató a tárhelyen, viszont nekik is élt a riasztás. Végignéztük a log-ot és az utoljára (abban az időszakban) módosított fájlokat, de a PHP-kben sem találtunk semmilyen szembeötlő változást.

    Akkor szűnt meg a dolog, amikor lecsökkentettem a behúzott adatokat. Nekem pl behúzott képek is voltak, amik más oldalról töltöttek be, kiszedtem amit tudtam, és megszűnt a jelenség (ami egyébként riasztás volt, és egy fura dupla oldalbetöltés...)

    Persze ez csak tipp, de érdemes megnézni!


    "Galaktikus logók, arculat, weboldalak a KKV-számára!"
    stargeckos.com

  3. #3
    'Say Hello To My Little Friend'
    Csatlakozott
    11-09-16
    Hozzászólás
    71
    Thanked 1 Time in 1 Post

    Alapbeállítás re: Wordpress törés js/kryptik trojan

    Az én ötletem nem fog tetszeni, bár leírom, hogy ilyen esetben mit érdemes tenned. (Főleg így, hogy nem tudod, hogyan lett fertőzött az oldal, nem ismert a forrás)

    Az első és legfontosabb dolog, hogy tiszta legyen a géped. Reinstall, az egész op rendszert! Ez eltarthat egy ideig. Nem érdemes 0 tudással vírust meg fertőzést irtani, mert jó eséllyel nem fog sikerülni. (nod stb ilyenkor néha nem ér semmit)

    változtasd meg az FTP jelszavadat. Meg minden jelszót, mysql elérhetősségét stb, szóval mindent! A tárhelyedet a régi adatokkal sehogy ne lehessen elérni.

    Ha ez megvan, és tiszta a géped, akkor töltsd le hivatalos forrásból a wp-t és a biztonsági msql mentésedből állítsd visszta/telepítsd fel újra az összes oldalad, ami azon a tárhelyen volt. Legfrisebb plugn/wp -k lesznek fel.

    Ez a legbiztosabb módja, abban az esetben, ha nem tudod meghatározni, pontosan hogyan került fel a fertőzés. De szerintem jó esélyed van arra, hogy nem a wp-n keresztül fertőztek le, hanem ellopták az FTP jelszavadat, és jelenleg is fertőzött a géped. Ezért írtam, amit írtam. És még egy: senki másnak ne add meg az ftp*det, ismerősnek vagy nem tudom, nehogy eseteleg ő visszafertőzze..ha esetleg ő lett volna a forrás.

    Ha ezt megteszed, tiszta lesz a géped, tiszta oldalad lesz. FTP-t nem mentünk, ftp-t nem gépelünk be. Mert fertőzéskor megszerezhetik. Wp-t meg frissíteni kell rendszeresen, de azt úgyis tudod.

    Az én javaslatom ez, vagy megfogadod, vagy nem. Sok sikert!



  4. #4
    Bölcs
    Csatlakozott
    10-01-15
    Hely
    Győr
    Hozzászólás
    589
    Begyűjtött 32 köszönetet
    30 hozzászólásával

    Alapbeállítás re: Wordpress törés js/kryptik trojan

    Nem vagyok profi úgyhogy javítsatok ha hülyeséget írnák.
    Amikor leszeded a javascript fájlokat a szerverről és azokat ellenőrzöd arra nem fog jelezni.
    Esetleg egy Frissítések => Újratelepítés most segít.


    Azért a töröld az oprendeszered ez egy kicsit túlzás szerintem , kasperskyből van bootolható lemezes verzió azt futtasd le.



  5. #5
    Mindig van lejjebb Wirg logója
    Csatlakozott
    08-06-04
    Hely
    Budapest
    Hozzászólás
    1.988
    Begyűjtött 413 köszönetet
    215 hozzászólásával

    Alapbeállítás re: Wordpress törés js/kryptik trojan

    A jelenség az hogy beriaszt a vírusvédő, de egyelőre más nincs. Itt egy carousel JS a hibás ami meghív valamit (azt már nem tudom hogy mit, mert blokkolja az antivirus).

    Ugyanez a gond, hogy nem találunk semmit. A template igényli ezt a JS-t, de nekem úgy tűnik hogy nem ez a hiba forrása.

    Az oldal használ Timthumb-ot, aminek korábban voltak gondjai, de azt most frissítettük.

    Idézet Csurga eredeti hozzászólása Hozzászólás megtekintése
    Mi a jelenség?

    Nekem is volt anno hasonló problémám, amikor egy hivatkozás lett átirányítva egy "megbízhatatlan" oldalra. Kikapcsoltam minden behúzott JS-t és megszűnt a hiba, nekem sem talált semmilyen vírust a szolgáltató a tárhelyen, viszont nekik is élt a riasztás. Végignéztük a log-ot és az utoljára (abban az időszakban) módosított fájlokat, de a PHP-kben sem találtunk semmilyen szembeötlő változást.

    Akkor szűnt meg a dolog, amikor lecsökkentettem a behúzott adatokat. Nekem pl behúzott képek is voltak, amik más oldalról töltöttek be, kiszedtem amit tudtam, és megszűnt a jelenség (ami egyébként riasztás volt, és egy fura dupla oldalbetöltés...)

    Persze ez csak tipp, de érdemes megnézni!




  6. #6
    Mindig van lejjebb Wirg logója
    Csatlakozott
    08-06-04
    Hely
    Budapest
    Hozzászólás
    1.988
    Begyűjtött 413 köszönetet
    215 hozzászólásával

    Alapbeállítás re: Wordpress törés js/kryptik trojan

    Ez tényleg erős kicsit. Az nyilván OK hogy meg kell győződni arról hogy tiszta a gépem. Erre ott a spybot és kétféle vírusvédő. Az is OK hogy nem tárolom le az FTP és megváltoztatom, ezen is túl vagyunk. Plugin frissítések is egyértelműen rendben vannak.

    De ha ezeket megcsinálom akkor mi baja lehet a gépemnek? Ráadásul ez egy shared hosting, elég sok oldalt kellene újratelepíteni.

    A tudásom szerencsére nem nulla, viszont a szolgáltató és a programozó értenek hozzá, nem én csinálom az írtást. A gép újrahúzás + minden újratelepítés szerintem itt barokkos túlzás. De ha tényleg nem tudom megoldani máshogy akkor lehet hogy ez lesz a vége. Egyelőre viszont próbálom "olcsóbban" megúszni.

    Idézet deadisland eredeti hozzászólása Hozzászólás megtekintése
    Az én ötletem nem fog tetszeni, bár leírom, hogy ilyen esetben mit érdemes tenned. (Főleg így, hogy nem tudod, hogyan lett fertőzött az oldal, nem ismert a forrás)

    Az első és legfontosabb dolog, hogy tiszta legyen a géped. Reinstall, az egész op rendszert! Ez eltarthat egy ideig. Nem érdemes 0 tudással vírust meg fertőzést irtani, mert jó eséllyel nem fog sikerülni. (nod stb ilyenkor néha nem ér semmit)

    változtasd meg az FTP jelszavadat. Meg minden jelszót, mysql elérhetősségét stb, szóval mindent! A tárhelyedet a régi adatokkal sehogy ne lehessen elérni.

    Ha ez megvan, és tiszta a géped, akkor töltsd le hivatalos forrásból a wp-t és a biztonsági msql mentésedből állítsd visszta/telepítsd fel újra az összes oldalad, ami azon a tárhelyen volt. Legfrisebb plugn/wp -k lesznek fel.

    Ez a legbiztosabb módja, abban az esetben, ha nem tudod meghatározni, pontosan hogyan került fel a fertőzés. De szerintem jó esélyed van arra, hogy nem a wp-n keresztül fertőztek le, hanem ellopták az FTP jelszavadat, és jelenleg is fertőzött a géped. Ezért írtam, amit írtam. És még egy: senki másnak ne add meg az ftp*det, ismerősnek vagy nem tudom, nehogy eseteleg ő visszafertőzze..ha esetleg ő lett volna a forrás.

    Ha ezt megteszed, tiszta lesz a géped, tiszta oldalad lesz. FTP-t nem mentünk, ftp-t nem gépelünk be. Mert fertőzéskor megszerezhetik. Wp-t meg frissíteni kell rendszeresen, de azt úgyis tudod.

    Az én javaslatom ez, vagy megfogadod, vagy nem. Sok sikert!




  7. #7
    Mindig van lejjebb Wirg logója
    Csatlakozott
    08-06-04
    Hely
    Budapest
    Hozzászólás
    1.988
    Begyűjtött 413 köszönetet
    215 hozzászólásával

    Alapbeállítás re: Wordpress törés js/kryptik trojan

    Az egész szerver összes cuccát szedtük le, tehát elvileg a JS akkor is meghívja amit meg kell. Viszont az tény hogy így sem jelzett semmit a víruskereső, se a spybot, ami azért fura.

    Idézet dragon1993 eredeti hozzászólása Hozzászólás megtekintése
    Nem vagyok profi úgyhogy javítsatok ha hülyeséget írnák.
    Amikor leszeded a javascript fájlokat a szerverről és azokat ellenőrzöd arra nem fog jelezni.
    Esetleg egy Frissítések => Újratelepítés most segít.


    Azért a töröld az oprendeszered ez egy kicsit túlzás szerintem , kasperskyből van bootolható lemezes verzió azt futtasd le.




  8. #8
    system g-easy logója
    Csatlakozott
    07-04-26
    Hely
    n/a
    Hozzászólás
    4.311
    Begyűjtött 2 köszönetet
    2 hozzászólásával

    Alapbeállítás re: Wordpress törés js/kryptik trojan

    Meg lehet tudni, hogy melyik az oldal? Hátha sikerül találni valamit. Több szem többet lát alapon.



  9. #9
    Mindig van lejjebb Wirg logója
    Csatlakozott
    08-06-04
    Hely
    Budapest
    Hozzászólás
    1.988
    Begyűjtött 413 köszönetet
    215 hozzászólásával

    Alapbeállítás re: Wordpress törés js/kryptik trojan

    Privi ment Egyelőre nem akarom közkincsé tenni, de az tény hogy a kódban nincs semmi, csak az a fránya JS.

    Idézet g-easy eredeti hozzászólása Hozzászólás megtekintése
    Meg lehet tudni, hogy melyik az oldal? Hátha sikerül találni valamit. Több szem többet lát alapon.




  10. #10
    system g-easy logója
    Csatlakozott
    07-04-26
    Hely
    n/a
    Hozzászólás
    4.311
    Begyűjtött 2 köszönetet
    2 hozzászólásával

    Alapbeállítás re: Wordpress törés js/kryptik trojan

    A nyakamat tenném rá, hogy ezt a js-t semmi (más) nem használja:
    Itt érhető el: http://pastebin.com/gUgtD6Ap
    Csak úgy látható a forrásban, ha elhúzod jobbra az alsó scrollert. Tipikus beinjektált mind a kódolás, mind a html-be való beszúrás. Wp nem így teszi be.



Oldal: 1 / 2 12 UtolsóUtolsó

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •