Vubec to neni prazdne gesto, je to fajn vozit se na zavodaku :).
Dne 26.8.2016 16:46 napsal uživatel "kypo" kypo46@gmail.com:
Dakujem vsetkym za skvele tipy a za pomoc. Nakoniec som vcera v noci pomocou porovnania so starsou zalohou nasiel subory co boli zmenene, pripadne nove. Bolo to na dlhsie, pretoze od starsej zalohy sa robilo niekolko updatov roznych modulov, takze chvilu trvalo nez som to zosrotoval, ale nasiel som v dvoch original suboroch WP na zaciatku skodlivy kod a naslo mi to aj 3 nove subory php, kazdy v inom foldru, kde samozrejme bol eval(...... Dalej v uploads/avatar boli subory typu ***.php.gif a podobne perlicky, dokopy asi 5 suborov. Nechal som to tak a nasadil som tam plugin Wordfence.
Ten odhalil komplet vsetko co ja rucne, vyhoda je ze neporovnava iba existujuce subory co su sucastou WP, ale skenuje vsetky co su na webu a hlada tam prave eval( char a podobne podozrive veci a odhalil aj subory co tam boli nove... Sikovny plugin, pomocou neho som to precistil, potom este vsetko rucne skontroloval, nasadil som tam firewall, zakazal prihlasovanie z Ciny, Japonska, Iranu a podobnych atraktivnych krajin, tak uvidime.
Kazdopadne neviem cez aku dieru to tam naliezlo, budem to sledovat. Wordfence je fajn v tom, ze si tento scan robi pravidelne, da sa nastavit kedy ma prebehnut a vysledok reportuje mailom... Takze ak sa tam aj nieco znova nasere tak to zistim rychlo...
Chcel by som iba jednu vec na zaver: Som na VPSfree novy, nasiel som ho nahodou. Okrem perfektnej podpory a super serverov za vyhodnu cenu sa musim strasne podakovat vsetkym z komunity za ochotny pristup a chut poradit. V dnesnej dobe sa to uz casto nevidi, vacsinou kazdy na kazdeho sere... SOm velmi milo prekvapeny aka ste fajn komunita a som z toho rad. Sme len maly komunitny web ktory nie je ziskovy, je to len taka moja hracka vo volnom case, to je tak ked sa stari fotri hraju na zavodnikov, mam doma velky simulator, komplet kokpit a proste ma to bavi. Rozdiel medzi malym chlapcom a starym fotrom je len v cene hracky :)
Nahodim na web logo vpsfree do partnerov a od dalsich sezon sa bude na kazdom aute v nasich zavodoch vozit logo VPSfree. Potom poslem aspon nejaky pekny obrazok. Viem ze to je len prazdne gesto z ktoreho nikto nic nebude mat, ale aspon nieco...
DAKUJEM
On Thu, 25 Aug 2016 09:58:13 +0200, Michal Pazderský michal@squelle.com wrote:
jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam,
kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - když přebíráme cizí projekt kde se nedodržují Drupal standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce, např. přes ty příkazy, co jsem poslal.
On 25.8.2016 9:41, Lukas Vana wrote:
Ahoj,
na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.
-- Lukáš Váňa (fabian)
http://www.fabian.cz http://www.fabian.cz/
On 25 August 2016 at 07:26:45, Michal Pazderský (michal@squelle.com mailto:michal@squelle.com) wrote:
Ahoj,
u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se na nej) existuje modul Hacked, ktery ti udela diff oproti contrib modulum. Na WP bude urcite neco podobneho. Jinak obcas najde neco i clamav clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2 NAZEVADRESARE
dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho
find NAZEVADRESARE -iname "*.exe" prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a gzinflate a ideálně také na preg_replace s /e
"find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""eval *("" --color find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep -l ""base64_decode *("" --color ** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu ** find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""gzinflate *("" --color
find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs egrep -i ""preg_replace *((['|""])(.).*\2[a-z]*e[^\1]*\1 *,"" --color "
manuálně projít databázi na retezce
<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(, include(, include_once(, require(, require_once(, preg_replace(, create_function(
On 25.8.2016 7:14, Jozef Sroka wrote:
Nazaciako by som skontroloval či ten klient naozaj volal tvoj server,
či
volal tvoju ip. Ak nie tak je to jasné
Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy.
Zvykne
to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje
a
použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je
goaccess, z
access logu ti spraví štatistiku ktorá url sa ako často volá, aké statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala vec, budeš posielať e-maily alebo iné veci.
Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.v
psfree.cz>
-- Michal Pazdersky (jednatel/CEO)
Squelle Group, s.r.o. Nad Palatou 2801/48, 150 00 Praha Smichov
GSM: +420 733 326 468 EMAIL: michal@squelle.com mailto:michal@squelle.com WEB: www.squelle.com http://www.squelle.com
.................................................... CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal. EN: Drupal web development, consulting and training. .................................................... _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list