<html><head><style>body{font-family:Helvetica,Arial;font-size:13px}</style></head><body style="word-wrap:break-word"><div id="bloop_customfont" style="font-family:Helvetica,Arial;font-size:13px;color:rgba(0,0,0,1.0);margin:0px;line-height:auto">Ahoj,</div><div id="bloop_customfont" style="font-family:Helvetica,Arial;font-size:13px;color:rgba(0,0,0,1.0);margin:0px;line-height:auto"><br></div><div id="bloop_customfont" style="font-family:Helvetica,Arial;font-size:13px;color:rgba(0,0,0,1.0);margin:0px;line-height:auto">na WP treba plugin <a href="https://wordpress.org/plugins/wordfence/">https://wordpress.org/plugins/wordfence/</a> umi porovnat tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.</div> <br> <div id="bloop_sign_1472110786935843840" class="bloop_sign"><div style="font-family:helvetica,arial;font-size:13px">-- <br>Lukáš Váňa <span style="font-size:12.8000001907349px;color:rgb(34,34,34);font-family:arial,sans-serif;line-height:normal">(fabian) </span><br style="font-size:12.8000001907349px;color:rgb(34,34,34);font-family:arial,sans-serif;line-height:normal"><br style="font-size:12.8000001907349px;color:rgb(34,34,34);font-family:arial,sans-serif;line-height:normal"><a href="http://www.fabian.cz/" style="font-size:12.8000001907349px;font-family:arial,sans-serif;line-height:normal">http://www.fabian.cz</a></div></div> <br><p class="airmail_on">On 25 August 2016 at 07:26:45, Michal Pazderský (<a href="mailto:michal@squelle.com">michal@squelle.com</a>) wrote:</p> <blockquote type="cite" class="clean_bq"><span><div><div></div><div>Ahoj,<br><br>u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se <br>na nej) existuje modul Hacked, ktery ti udela diff oproti contrib <br>modulum. Na WP bude urcite neco podobneho.<br>Jinak obcas najde neco i clamav<br>clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2 NAZEVADRESARE<br><br>dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho<br><br>find NAZEVADRESARE -iname "*.exe"<br>prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a <br>gzinflate a ideálně také na preg_replace s /e<br><br>"find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \) <br>| xargs grep ""eval *("" --color<br>find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \) <br>| xargs grep -l ""base64_decode *("" --color<br>** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu **<br>find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \) <br>| xargs grep ""gzinflate *("" --color<br><br>find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \) <br>| xargs egrep -i ""preg_replace *\((['|\""])(.).*\2[a-z]*e[^\1]*\1 *,"" <br>--color   "<br><br>manuálně projít databázi na retezce<br><br>  <?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(, <br>include(, include_once(, require(, require_once(, preg_replace(, <br>create_function(<br><br><br>On 25.8.2016 7:14, Jozef Sroka wrote:<br>> Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či<br>> volal tvoju ip. Ak nie tak je to jasné<br>><br>> Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne<br>> to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni<br>> zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne<br>> nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a<br>> použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z<br>> access logu ti spraví štatistiku ktorá url sa ako často volá, aké<br>> statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som<br>> začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala<br>> vec, budeš posielať e-maily alebo iné veci.<br>><br>><br>><br>> _______________________________________________<br>> Community-list mailing list<br>> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>> <a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br><br>-- <br>Michal Pazdersky (jednatel/CEO)<br><br>Squelle Group, s.r.o.<br>Nad Palatou 2801/48, 150 00 Praha Smichov<br><br>GSM: +420 733 326 468<br>EMAIL:  <a href="mailto:michal@squelle.com">michal@squelle.com</a><br>WEB:        <a href="http://www.squelle.com">www.squelle.com</a><br><br>....................................................<br>CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal.<br>EN: Drupal web development, consulting and training.<br>....................................................<br>_______________________________________________<br>Community-list mailing list<br><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div></div></span></blockquote></body></html>