<p dir="ltr">Vubec to neni prazdne gesto, je to fajn vozit se na zavodaku :).</p>
<div class="gmail_extra"><br><div class="gmail_quote">Dne 26.8.2016 16:46 napsal uživatel "kypo" <<a href="mailto:kypo46@gmail.com">kypo46@gmail.com</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dakujem vsetkym za skvele tipy a za pomoc.<br>
Nakoniec som vcera v noci pomocou porovnania so starsou zalohou nasiel<br>
subory co boli zmenene, pripadne nove. Bolo to na dlhsie, pretoze od<br>
starsej zalohy sa robilo niekolko updatov roznych modulov, takze chvilu<br>
trvalo nez som to zosrotoval, ale nasiel som v dvoch original suboroch WP<br>
na zaciatku skodlivy kod a naslo mi to aj 3 nove subory php, kazdy v inom<br>
foldru, kde samozrejme bol eval(...... Dalej v uploads/avatar boli subory<br>
typu ***.php.gif a podobne perlicky, dokopy asi 5 suborov. Nechal som to<br>
tak a nasadil som tam plugin Wordfence.<br>
<br>
Ten odhalil komplet vsetko co ja rucne, vyhoda je ze neporovnava iba<br>
existujuce subory co su sucastou WP, ale skenuje vsetky co su na webu a<br>
hlada tam prave eval( char a podobne podozrive veci a odhalil aj subory co<br>
tam boli nove...<br>
Sikovny plugin, pomocou neho som to precistil, potom este vsetko rucne<br>
skontroloval, nasadil som tam firewall, zakazal prihlasovanie z Ciny,<br>
Japonska, Iranu a podobnych atraktivnych krajin, tak uvidime.<br>
<br>
Kazdopadne neviem cez aku dieru to tam naliezlo, budem to sledovat.<br>
Wordfence je fajn v tom, ze si tento scan robi pravidelne, da sa nastavit<br>
kedy ma prebehnut a vysledok reportuje mailom... Takze ak sa tam aj nieco<br>
znova nasere tak to zistim rychlo...<br>
<br>
Chcel by som iba jednu vec na zaver:<br>
Som na VPSfree novy, nasiel som ho nahodou. Okrem perfektnej podpory a<br>
super serverov za vyhodnu cenu sa musim strasne podakovat vsetkym z<br>
komunity za ochotny pristup a chut poradit. V dnesnej dobe sa to uz casto<br>
nevidi, vacsinou kazdy na kazdeho sere... SOm velmi milo prekvapeny aka<br>
ste fajn komunita a som z toho rad.<br>
Sme len maly komunitny web ktory nie je ziskovy, je to len taka moja<br>
hracka vo volnom case, to je tak ked sa stari fotri hraju na zavodnikov,<br>
mam doma velky simulator, komplet kokpit a proste ma to bavi. Rozdiel<br>
medzi malym chlapcom a starym fotrom je len v cene hracky :)<br>
<br>
Nahodim na web logo vpsfree do partnerov a od dalsich sezon sa bude<br>
na kazdom aute v nasich zavodoch vozit logo VPSfree. Potom poslem aspon nejaky pekny obrazok.<br>
Viem ze to je len prazdne gesto z ktoreho nikto nic nebude mat, ale aspon nieco...<br>
<br>
DAKUJEM<br>
<br>
<br>
<br>
On Thu, 25 Aug 2016 09:58:13 +0200, Michal Pazderský <<a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a>><br>
wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam, kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - když přebíráme cizí projekt kde se nedodržují Drupal standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce, např. přes ty příkazy, co jsem poslal.<br>
<br>
<br>
On 25.8.2016 9:41, Lukas Vana wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ahoj,<br>
<br>
na WP treba plugin <a href="https://wordpress.org/plugins/wordfence/" rel="noreferrer" target="_blank">https://wordpress.org/plugins/<wbr>wordfence/</a> umi porovnat<br>
tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.<br>
<br>
--<br>
Lukáš Váňa (fabian)<br>
<br>
<a href="http://www.fabian.cz" rel="noreferrer" target="_blank">http://www.fabian.cz</a> <<a href="http://www.fabian.cz/" rel="noreferrer" target="_blank">http://www.fabian.cz/</a>><br>
<br>
On 25 August 2016 at 07:26:45, Michal Pazderský (<a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a><br>
<mailto:<a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a>>) wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ahoj,<br>
<br>
u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se<br>
na nej) existuje modul Hacked, ktery ti udela diff oproti contrib<br>
modulum. Na WP bude urcite neco podobneho.<br>
Jinak obcas najde neco i clamav<br>
clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2<br>
NAZEVADRESARE<br>
<br>
dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho<br>
<br>
find NAZEVADRESARE -iname "*.exe"<br>
prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a<br>
gzinflate a ideálně také na preg_replace s /e<br>
<br>
"find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)<br>
| xargs grep ""eval *("" --color<br>
find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)<br>
| xargs grep -l ""base64_decode *("" --color<br>
** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu **<br>
find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)<br>
| xargs grep ""gzinflate *("" --color<br>
<br>
find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)<br>
| xargs egrep -i ""preg_replace *\((['|\""])(.).*\2[a-z]*e[^\1<wbr>]*\1 *,""<br>
--color "<br>
<br>
manuálně projít databázi na retezce<br>
<br>
<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(,<br>
include(, include_once(, require(, require_once(, preg_replace(,<br>
create_function(<br>
<br>
<br>
On 25.8.2016 7:14, Jozef Sroka wrote:<br>
> Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či<br>
> volal tvoju ip. Ak nie tak je to jasné<br>
><br>
> Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne<br>
> to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni<br>
> zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne<br>
> nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a<br>
> použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z<br>
> access logu ti spraví štatistiku ktorá url sa ako často volá, aké<br>
> statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som<br>
> začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala<br>
> vec, budeš posielať e-maily alebo iné veci.<br>
><br>
><br>
><br>
> ______________________________<wbr>_________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a> <mailto:<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.v<wbr>psfree.cz</a>><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
<br>
--<br>
Michal Pazdersky (jednatel/CEO)<br>
<br>
Squelle Group, s.r.o.<br>
Nad Palatou 2801/48, 150 00 Praha Smichov<br>
<br>
GSM: <a href="tel:%2B420%20733%20326%20468" value="+420733326468" target="_blank">+420 733 326 468</a><br>
EMAIL: <a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a> <mailto:<a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a>><br>
WEB: <a href="http://www.squelle.com" rel="noreferrer" target="_blank">www.squelle.com</a> <<a href="http://www.squelle.com" rel="noreferrer" target="_blank">http://www.squelle.com</a>><br>
<br>
..............................<wbr>......................<br>
CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal.<br>
EN: Drupal web development, consulting and training.<br>
..............................<wbr>......................<br>
______________________________<wbr>_________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a> <mailto:<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.v<wbr>psfree.cz</a>><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
</blockquote>
<br>
<br>
______________________________<wbr>_________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
</blockquote></blockquote>
______________________________<wbr>_________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
</blockquote></div></div>