Vubec to neni prazdne gesto, je to fajn vozit se na zavodaku :).


Dne 26.8.2016 16:46 napsal uživatel "kypo" <kypo46@gmail.com>:
Dakujem vsetkym za skvele tipy a za pomoc.
Nakoniec som vcera v noci pomocou porovnania so starsou zalohou nasiel
subory co boli zmenene, pripadne nove. Bolo to na dlhsie, pretoze od
starsej zalohy sa robilo niekolko updatov roznych modulov, takze chvilu
trvalo nez som to zosrotoval, ale nasiel som v dvoch original suboroch WP
na zaciatku skodlivy kod a naslo mi to aj 3 nove subory php, kazdy v inom
foldru, kde samozrejme bol eval(...... Dalej v uploads/avatar boli subory
typu ***.php.gif a podobne perlicky, dokopy asi 5 suborov. Nechal som to
tak a nasadil som tam plugin Wordfence.

Ten odhalil komplet vsetko co ja rucne, vyhoda je ze neporovnava iba
existujuce subory co su sucastou WP, ale skenuje vsetky co su na webu a
hlada tam prave eval( char a podobne podozrive veci a odhalil aj subory co
tam boli nove...
Sikovny plugin, pomocou neho som to precistil, potom este vsetko rucne
skontroloval, nasadil som tam firewall, zakazal prihlasovanie z Ciny,
Japonska, Iranu a podobnych atraktivnych krajin, tak uvidime.

Kazdopadne neviem cez aku dieru to tam naliezlo, budem to sledovat.
Wordfence je fajn v tom, ze si tento scan robi pravidelne, da sa nastavit
kedy ma prebehnut a vysledok reportuje mailom... Takze ak sa tam aj nieco
znova nasere tak to zistim rychlo...

Chcel by som iba jednu vec na zaver:
Som na VPSfree novy, nasiel som ho nahodou. Okrem perfektnej podpory a
super serverov za vyhodnu cenu sa musim strasne podakovat vsetkym z
komunity za ochotny pristup a chut poradit. V dnesnej dobe sa to uz casto
nevidi, vacsinou kazdy na kazdeho sere... SOm velmi milo prekvapeny aka
ste fajn komunita a som z toho rad.
Sme len maly komunitny web ktory nie je ziskovy, je to len taka moja
hracka vo volnom case, to je tak ked sa stari fotri hraju na zavodnikov,
mam doma velky simulator, komplet kokpit a proste ma to bavi. Rozdiel
medzi malym chlapcom a starym fotrom je len v cene hracky :)

Nahodim na web logo vpsfree do partnerov a od dalsich sezon sa bude
na kazdom aute v nasich zavodoch vozit logo VPSfree. Potom poslem aspon nejaky pekny obrazok.
Viem ze to je len prazdne gesto z ktoreho nikto nic nebude mat, ale aspon nieco...

DAKUJEM



On Thu, 25 Aug 2016 09:58:13 +0200, Michal Pazderský <michal@squelle.com>
wrote:

jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam, kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - když přebíráme cizí projekt kde se nedodržují Drupal standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce, např. přes ty příkazy, co jsem poslal.


On 25.8.2016 9:41, Lukas Vana wrote:
Ahoj,

na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat
tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.

--
Lukáš Váňa (fabian)

http://www.fabian.cz <http://www.fabian.cz/>

On 25 August 2016 at 07:26:45, Michal Pazderský (michal@squelle.com
<mailto:michal@squelle.com>) wrote:

Ahoj,

u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se
na nej) existuje modul Hacked, ktery ti udela diff oproti contrib
modulum. Na WP bude urcite neco podobneho.
Jinak obcas najde neco i clamav
clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2
NAZEVADRESARE

dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho

find NAZEVADRESARE -iname "*.exe"
prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a
gzinflate a ideálně také na preg_replace s /e

"find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
| xargs grep ""eval *("" --color
find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
| xargs grep -l ""base64_decode *("" --color
** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu **
find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
| xargs grep ""gzinflate *("" --color

find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
| xargs egrep -i ""preg_replace *\((['|\""])(.).*\2[a-z]*e[^\1]*\1 *,""
--color "

manuálně projít databázi na retezce

<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(,
include(, include_once(, require(, require_once(, preg_replace(,
create_function(


On 25.8.2016 7:14, Jozef Sroka wrote:
> Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či
> volal tvoju ip. Ak nie tak je to jasné
>
> Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne
> to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni
> zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne
> nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a
> použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z
> access logu ti spraví štatistiku ktorá url sa ako často volá, aké
> statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som
> začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala
> vec, budeš posielať e-maily alebo iné veci.
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list

--
Michal Pazdersky (jednatel/CEO)

Squelle Group, s.r.o.
Nad Palatou 2801/48, 150 00 Praha Smichov

GSM: +420 733 326 468
EMAIL: michal@squelle.com <mailto:michal@squelle.com>
WEB: www.squelle.com <http://www.squelle.com>

....................................................
CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal.
EN: Drupal web development, consulting and training.
....................................................
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list


_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list