
<p dir="ltr">Vubec to neni prazdne gesto, je to fajn vozit se na zavodaku :).</p>

<div class="gmail_extra"><br><div class="gmail_quote">Dne 26.8.2016 16:46 napsal uživatel "kypo" <<a href="mailto:kypo46@gmail.com">kypo46@gmail.com</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dakujem vsetkym za skvele tipy a za pomoc.<br>

Nakoniec som vcera v noci pomocou porovnania so starsou zalohou nasiel<br>

subory co boli zmenene, pripadne nove. Bolo to na dlhsie, pretoze od<br>

starsej zalohy sa robilo niekolko updatov roznych modulov, takze chvilu<br>

trvalo nez som to zosrotoval, ale nasiel som v dvoch original suboroch WP<br>

na zaciatku skodlivy kod a naslo mi to aj 3 nove subory php, kazdy v inom<br>

foldru, kde samozrejme bol eval(...... Dalej v uploads/avatar boli subory<br>

typu ***.php.gif a podobne perlicky, dokopy asi 5 suborov. Nechal som to<br>

tak a nasadil som tam plugin Wordfence.<br>

<br>

Ten odhalil komplet vsetko co ja rucne, vyhoda je ze neporovnava iba<br>

existujuce subory co su sucastou WP, ale skenuje vsetky co su na webu a<br>

hlada tam prave eval( char a podobne podozrive veci a odhalil aj subory co<br>

tam boli nove...<br>

Sikovny plugin, pomocou neho som to precistil, potom este vsetko rucne<br>

skontroloval, nasadil som tam firewall, zakazal prihlasovanie z Ciny,<br>

Japonska, Iranu a podobnych atraktivnych krajin, tak uvidime.<br>

<br>

Kazdopadne neviem cez aku dieru to tam naliezlo, budem to sledovat.<br>

Wordfence je fajn v tom, ze si tento scan robi pravidelne, da sa nastavit<br>

kedy ma prebehnut a vysledok reportuje mailom... Takze ak sa tam aj nieco<br>

znova nasere tak to zistim rychlo...<br>

<br>

Chcel by som iba jednu vec na zaver:<br>

Som na VPSfree novy, nasiel som ho nahodou. Okrem perfektnej podpory a<br>

super serverov za vyhodnu cenu sa musim strasne podakovat vsetkym z<br>

komunity za ochotny pristup a chut poradit. V dnesnej dobe sa to uz casto<br>

nevidi, vacsinou kazdy na kazdeho sere... SOm velmi milo prekvapeny aka<br>

ste fajn komunita a som z toho rad.<br>

Sme len maly komunitny web ktory nie je ziskovy, je to len taka moja<br>

hracka vo volnom case, to je tak ked sa stari fotri hraju na zavodnikov,<br>

mam doma velky simulator, komplet kokpit a proste ma to bavi. Rozdiel<br>

medzi malym chlapcom a starym fotrom je len v cene hracky :)<br>

<br>

Nahodim na web logo vpsfree do partnerov a od dalsich sezon sa bude<br>

na kazdom aute v nasich zavodoch vozit logo VPSfree. Potom poslem aspon nejaky pekny obrazok.<br>

Viem ze to je len prazdne gesto z ktoreho nikto nic nebude mat, ale aspon nieco...<br>

<br>

DAKUJEM<br>

<br>

<br>

<br>

On Thu, 25 Aug 2016 09:58:13 +0200, Michal Pazderský <<a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a>><br>

wrote:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam, kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - když přebíráme cizí projekt kde se nedodržují Drupal standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce, např. přes ty příkazy, co jsem poslal.<br>

<br>

<br>

On 25.8.2016 9:41, Lukas Vana wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Ahoj,<br>

<br>

na WP treba plugin <a href="https://wordpress.org/plugins/wordfence/" rel="noreferrer" target="_blank">https://wordpress.org/plugins/<wbr>wordfence/</a> umi porovnat<br>

tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.<br>

<br>

--<br>

Lukáš Váňa (fabian)<br>

<br>

<a href="http://www.fabian.cz" rel="noreferrer" target="_blank">http://www.fabian.cz</a> <<a href="http://www.fabian.cz/" rel="noreferrer" target="_blank">http://www.fabian.cz/</a>><br>

<br>

On 25 August 2016 at 07:26:45, Michal Pazderský (<a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a><br>

<mailto:<a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a>>) wrote:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Ahoj,<br>

<br>

u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se<br>

na nej) existuje modul Hacked, ktery ti udela diff oproti contrib<br>

modulum. Na WP bude urcite neco podobneho.<br>

Jinak obcas najde neco i clamav<br>

clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2<br>

NAZEVADRESARE<br>

<br>

dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho<br>

<br>

find NAZEVADRESARE -iname "*.exe"<br>

prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a<br>

gzinflate a ideálně také na preg_replace s /e<br>

<br>

"find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)<br>

| xargs grep ""eval *("" --color<br>

find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)<br>

| xargs grep -l ""base64_decode *("" --color<br>

** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu **<br>

find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)<br>

| xargs grep ""gzinflate *("" --color<br>

<br>

find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)<br>

| xargs egrep -i ""preg_replace *\((['|\""])(.).*\2[a-z]*e[^\1<wbr>]*\1 *,""<br>

--color "<br>

<br>

manuálně projít databázi na retezce<br>

<br>

<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(,<br>

include(, include_once(, require(, require_once(, preg_replace(,<br>

create_function(<br>

<br>

<br>

On 25.8.2016 7:14, Jozef Sroka wrote:<br>

> Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či<br>

> volal tvoju ip. Ak nie tak je to jasné<br>

><br>

> Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne<br>

> to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni<br>

> zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne<br>

> nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a<br>

> použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z<br>

> access logu ti spraví štatistiku ktorá url sa ako často volá, aké<br>

> statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som<br>

> začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala<br>

> vec, budeš posielať e-maily alebo iné veci.<br>

><br>

><br>

><br>

> ______________________________<wbr>_________________<br>

> Community-list mailing list<br>

> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a> <mailto:<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.v<wbr>psfree.cz</a>><br>

> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>

<br>

--<br>

Michal Pazdersky (jednatel/CEO)<br>

<br>

Squelle Group, s.r.o.<br>

Nad Palatou 2801/48, 150 00 Praha Smichov<br>

<br>

GSM: <a href="tel:%2B420%20733%20326%20468" value="+420733326468" target="_blank">+420 733 326 468</a><br>

EMAIL: <a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a> <mailto:<a href="mailto:michal@squelle.com" target="_blank">michal@squelle.com</a>><br>

WEB: <a href="http://www.squelle.com" rel="noreferrer" target="_blank">www.squelle.com</a> <<a href="http://www.squelle.com" rel="noreferrer" target="_blank">http://www.squelle.com</a>><br>

<br>

..............................<wbr>......................<br>

CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal.<br>

EN: Drupal web development, consulting and training.<br>

..............................<wbr>......................<br>

______________________________<wbr>_________________<br>

Community-list mailing list<br>

<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a> <mailto:<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.v<wbr>psfree.cz</a>><br>

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>

</blockquote>

<br>

<br>

______________________________<wbr>_________________<br>

Community-list mailing list<br>

<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>

</blockquote></blockquote>

______________________________<wbr>_________________<br>

Community-list mailing list<br>

<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>

<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>

</blockquote></div></div>