WP svetaine uzkresta virusais. Reikia pagalbos

Svetaine patalpinta serveriai.lt. Is ju gavau zinia, kad viename faile yra malware ir privalau istrinti faila. Istryniau, pasirodo jis buvo butinas templato veikimui, atstatem svetaine. Dabar vistiek yra uzkrestu failu. Didziausia problema, kad su www svetaine veikia, jei renki psl be www, svetaines nekrauna. Ieskau pagalbos

50eu pilnas isvalymas, jeigu sudomino PM, ryt galesiu atlikti darba

Junkis per cpanel ar Directadmin ar kt. Pažiurėk Site Summary / Statistics / Logs - ten daug info. Apache Usage Log - matysi kas kreipiasi i servą, kokie ip kenkėjai, ką uploadina(post'ina). Bandwidth (MB) details - kas ir kiek apkrauna apache, matysi koks iėjimo - išėjimo srautas ar siunti spam. Pasitikrink hostingo direktorijų ir failų "permissions" - negalima 777. htaccess - jei yra poreikis įsidėk post ar get apribojimus.

Vienas pavyzdys iš patirties(joomlos spraga):

41.185.21.66 - - [29/Dec/2015:00:24:03 +0200] "GET / HTTP/1.1" 200 423 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:2918:\"eval(base64_decode('JHB3ZCA9ICRfU0VSVkVSWydET0NVTUVOVF9ST09UJ10gLiAiL3gucGhwIjskcj1mb3BlbigiJHB3ZCIsIncrIik7ZndyamN

"Kodas iškirptas"

sb3NlKCRyKTs='));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\xfd\xfd\xfd"

50eur sako, nebejuokinkit, jei yra naujų update'u, tai viską atnaujink, parsisiųsk pluginų antivirusinių ir išsivalys. Vėliau svarbiausia visada viską atnaujinti, kai tik atsiranda koks atnaujinimas. Yra pluginas Securi Security. Išbandyk keletą, kažkas padės.

50eur sako, nebejuokinkit, jei yra naujų update'u, tai viską atnaujink, parsisiųsk pluginų antivirusinių ir išsivalys. Vėliau svarbiausia visada viską atnaujinti, kai tik atsiranda koks atnaujinimas. Yra pluginas Securi Security. Išbandyk keletą, kažkas padės.

Nejuokinu, It saugumo magistras, esu sukaupes ziniu sioje srityje, is palubinskio patarimu nemetau apie pluginus. Geros dienos.

50eur sako, nebejuokinkit, jei yra naujų update'u, tai viską atnaujink, parsisiųsk pluginų antivirusinių ir išsivalys. Vėliau svarbiausia visada viską atnaujinti, kai tik atsiranda koks atnaujinimas. Yra pluginas Securi Security. Išbandyk keletą, kažkas padės.

Man tai tokie juokintojai kaip pats juokina. Pirmiausia - kuo daugiau pluginu - tuo daugiau tikimybe visom skylem:) Pasikliauti pluginais tai tas pats, kas ziema iseiti i lauka su vienu batu ir galvoti kad abu apauti:)

Tai vėliau juos galima ir pašalinti. Gi ne amžiams jie.

Ir nesakau, kad tai geriausias būdas, bet paprasčiausias ir veiksmingas. Be to, jei būtų kažkoks rimtas puslapis, tai neturėtų kilti ir tokių klausimų. Dabar, manau, žmogus yra susikūręs kokį puslapėlį ir tiek. Tikrai norės išsisukti kuo pigiau.

Tai vėliau juos galima ir pašalinti. Gi ne amžiams jie.

 

Ir nesakau, kad tai geriausias būdas, bet paprasčiausias ir veiksmingas. Be to, jei būtų kažkoks rimtas puslapis, tai neturėtų kilti ir tokių klausimų. Dabar, manau, žmogus yra susikūręs kokį puslapėlį ir tiek. Tikrai norės išsisukti kuo pigiau.

jei nori pigiai - pats ir tvarkosi. Jei nori tvarkingai ir profesionaliai ištikrinti visą svetainę - tegul moka pinigus tiek - kiek prašo

50eur sako, nebejuokinkit, jei yra naujų update'u, tai viską atnaujink, parsisiųsk pluginų antivirusinių ir išsivalys. Vėliau svarbiausia visada viską atnaujinti, kai tik atsiranda koks atnaujinimas. Yra pluginas Securi Security. Išbandyk keletą, kažkas padės.

Cia maziausiai 70euru jeigu viska dar legaliai. Nzn be 100eur net kompo nesikungciau kai tokios bedos. Vistiek zmogui garantija dar reik suteikti ir t.t

Cia maziausiai 70euru jeigu viska dar legaliai. Nzn be 100eur net kompo nesikungciau kai tokios bedos. Vistiek zmogui garantija dar reik suteikti ir t.t

Na nežinau nekalbu apie mokeščius, bet kiek didokai skamba (apie PC), kokia garantija tu ruošiesi suteikti, kad kompo virusų valymą imtum €100?

Kita vertus ar neturėtų web brangiau būti, juk jis tai nutolęs, o su PC patogiau lendi kaip nori, iš kur nori ir kiek nori? :D :)

Na nežinau nekalbu apie mokeščius, bet kiek didokai skamba (apie PC), kokia garantija tu ruošiesi suteikti, kad kompo virusų valymą imtum €100?

Kita vertus ar neturėtų web brangiau būti, juk jis tai nutolęs, o su PC patogiau lendi kaip nori, iš kur nori ir kiek nori? :D :)

Manau ne kompo virusų valymą turėjo galvoj, o kad nesitrauktų kompo dėl tokios sumos, kad jungtis prie tos svetainės :)

Antivirusine valydamas tu svetainės normaliai neišvalysi. Labai retai svetainėse būna tie tikrieji "virusai", kuriuos ji aptinka. Dažniausiai įkelti paprasti php failai su funkcijom priimančiom komandas per POST requestus. Viena kodo eilutė, kuri daro eval() informacijai gautai per POST gali pridaryt žalos. Kur čia virusas? Tai būna arba atskiri failai, arba į egzistuojančios svetainės kodą įterpta kokia eilutė. Taip pat gali pažeidžiamumas slypėt ir pačioj svetainėj.

Kadangi jų taip lengvai nėra galimybės visų išvalyti, ta "garantija" yra tai kad nepabėgsi, ir atsiradus bent menkesniam įtarimui, toliau tęsi paieškas.

Nerasti visų failų prisijungus prie svetainės yra normalu.

Pradžia būna valymas visų failų kuriuos pastebi. Po to - stebi logus, ir žiūri kur ateina requestai. Jei įtartinas - imiesi veiksmų. Juk tas kodas gali būti ir vidury TVS'o kokio nors failo. Kas dažniau yra valęs, gali jau turėt pasiruošęs regex'ų, pagal dažniausiai sutiktus "piktus failus". Bet visiškai užgarantuot, kad vieną kartą prisijungus buvo svetainė pilnai išvalyta, tai nžn nžn. Drąsos reik turėt taip girtis :)

Kokybiškas normalus išvalymas yra tikrai time consuming, ir nevisi tokiu darbu nori apsiimt, nes mažesni "saitukai" nenori tiek mokėt. Tada pigiau yra tiesiog susiinstalint iš naujo wordpress'ą ir persiimportuot tekstą su nuotraukom.

Manau ne kompo virusų valymą turėjo galvoj, o kad nesitrauktų kompo dėl tokios sumos, kad jungtis prie tos svetainės :)

 

Antivirusine valydamas tu svetainės normaliai neišvalysi. Labai retai svetainėse būna tie tikrieji "virusai", kuriuos ji aptinka. Dažniausiai įkelti paprasti php failai su funkcijom priimančiom komandas per POST requestus. Viena kodo eilutė, kuri daro eval() informacijai gautai per POST gali pridaryt žalos. Kur čia virusas? Tai būna arba atskiri failai, arba į egzistuojančios svetainės kodą įterpta kokia eilutė. Taip pat gali pažeidžiamumas slypėt ir pačioj svetainėj.

Kadangi jų taip lengvai nėra galimybės visų išvalyti, ta "garantija" yra tai kad nepabėgsi, ir atsiradus bent menkesniam įtarimui, toliau tęsi paieškas.

Nerasti visų failų prisijungus prie svetainės yra normalu.

 

Pradžia būna valymas visų failų kuriuos pastebi. Po to - stebi logus, ir žiūri kur ateina requestai. Jei įtartinas - imiesi veiksmų. Juk tas kodas gali būti ir vidury TVS'o kokio nors failo. Kas dažniau yra valęs, gali jau turėt pasiruošęs regex'ų, pagal dažniausiai sutiktus "piktus failus". Bet visiškai užgarantuot, kad vieną kartą prisijungus buvo svetainė pilnai išvalyta, tai nžn nžn. Drąsos reik turėt taip girtis :)

 

Kokybiškas normalus išvalymas yra tikrai time consuming, ir nevisi tokiu darbu nori apsiimt, nes mažesni "saitukai" nenori tiek mokėt. Tada pigiau yra tiesiog susiinstalint iš naujo wordpress'ą ir persiimportuot tekstą su nuotraukom.

Aišku, dėkingas už tikrai išsamų paaiškinimą. :)

Manau ne kompo virusų valymą turėjo galvoj, o kad nesitrauktų kompo dėl tokios sumos, kad jungtis prie tos svetainės :)

 

Antivirusine valydamas tu svetainės normaliai neišvalysi. Labai retai svetainėse būna tie tikrieji "virusai", kuriuos ji aptinka. Dažniausiai įkelti paprasti php failai su funkcijom priimančiom komandas per POST requestus. Viena kodo eilutė, kuri daro eval() informacijai gautai per POST gali pridaryt žalos. Kur čia virusas? Tai būna arba atskiri failai, arba į egzistuojančios svetainės kodą įterpta kokia eilutė. Taip pat gali pažeidžiamumas slypėt ir pačioj svetainėj.

Kadangi jų taip lengvai nėra galimybės visų išvalyti, ta "garantija" yra tai kad nepabėgsi, ir atsiradus bent menkesniam įtarimui, toliau tęsi paieškas.

Nerasti visų failų prisijungus prie svetainės yra normalu.

 

Pradžia būna valymas visų failų kuriuos pastebi. Po to - stebi logus, ir žiūri kur ateina requestai. Jei įtartinas - imiesi veiksmų. Juk tas kodas gali būti ir vidury TVS'o kokio nors failo. Kas dažniau yra valęs, gali jau turėt pasiruošęs regex'ų, pagal dažniausiai sutiktus "piktus failus". Bet visiškai užgarantuot, kad vieną kartą prisijungus buvo svetainė pilnai išvalyta, tai nžn nžn. Drąsos reik turėt taip girtis :)

 

Kokybiškas normalus išvalymas yra tikrai time consuming, ir nevisi tokiu darbu nori apsiimt, nes mažesni "saitukai" nenori tiek mokėt. Tada pigiau yra tiesiog susiinstalint iš naujo wordpress'ą ir persiimportuot tekstą su nuotraukom.

Nebutina stebeti logu:) per 1 karta esama koda is visur galima istrinti, bet ji gali ir vel ikelti.

Dazniausia klaida kuria daro mazai patirties turintys "valytojai" kad jie pasikliauja tik log informacija.

Nebutina stebeti logu:) per 1 karta esama koda is visur galima istrinti, bet ji gali ir vel ikelti.

 

Dazniausia klaida kuria daro mazai patirties turintys "valytojai" kad jie pasikliauja tik log informacija.

Log informacija naudojama ne pačiam valymui, bet likučių sugaudymui. Ir drįsčiau neigti, kad mažai patirties turintys "valytojai" pasikliauja tik log informacija. Kiek teko pastebėti, jog "log" dalis būna labai dažnai pamirštama.

Nžn iš kur toks užtikrintumas, kad per 1 kartą galima idealiai išvalyt. Tai jei vėl tie failai gali būti įkelti, vadinasi ne viskas išvalyta :)

Jei sakysi, kad per tą patį pažeidžiamumą, kaip ir pačioj pradžioj tą svetainę nulaužė, tai vadinasi, jei būtent šito pažeidžiamumo nematei, turbūt ir visų panašių galėjai nepastebėti.

Juk backdoor'ą spaminių failų įsikėlimui galima pasidaryti nebūtinai ką nors į kodą įkeliant įtartino koduoto su base64. Tai gali būt paprasta mini eilutė.

O dar kiečiau, tai gali būt netgi tvs'o funkcija, tačiau su nutrinta duomenų tikrinimo dalim.

Visiškai pritariu NSC. Savo svetainės virusus, kartu su spamo generavimo kodu suradau ir ištryniau, logų pagalba, per kelis etapus. Mano atveju kodų įterpimas buvo vykdomas 3 variantais. Labai padėjo htaccess papildymas apribojimais. Tarp kitko, kad ir ištrynei malware kodus, tai dar nereiškia, kad neturi problemų. POST siuntinėjimas iš netipinių IP tebevyksta, tad išvalymas - tik pusė darbo. Ir dar, daugelis HOST administratorių po kreipimosi dėl malware, patikrina, ir paprastai blokuoja kenkėjišką IP.

Log informacija naudojama ne pačiam valymui, bet likučių sugaudymui. Ir drįsčiau neigti, kad mažai patirties turintys "valytojai" pasikliauja tik log informacija. Kiek teko pastebėti, jog "log" dalis būna labai dažnai pamirštama.

 

Nžn iš kur toks užtikrintumas, kad per 1 kartą galima idealiai išvalyt. Tai jei vėl tie failai gali būti įkelti, vadinasi ne viskas išvalyta :)

Jei sakysi, kad per tą patį pažeidžiamumą, kaip ir pačioj pradžioj tą svetainę nulaužė, tai vadinasi, jei būtent šito pažeidžiamumo nematei, turbūt ir visų panašių galėjai nepastebėti.

 

Juk backdoor'ą spaminių failų įsikėlimui galima pasidaryti nebūtinai ką nors į kodą įkeliant įtartino koduoto su base64. Tai gali būt paprasta mini eilutė.

O dar kiečiau, tai gali būt netgi tvs'o funkcija, tačiau su nutrinta duomenų tikrinimo dalim.

Nemaišykim keletos dalykų: Virusų valymą IR backdoor paieškos:)

Jei jau kalbėti apie backdoor paiešką, tai suma gali būti ir ne vienas nulis gale pridėtas:)

Virusų valymui 150eur be mokesčių yra normali kaina:) Aišku, jei ten užkrėsti vos keli failai, tai suma gali ženkliai mažėti:)