[vpsFree.cz: community-list] prosim pomoc zeby hacknuty server alebo web

kypo kypo46 at gmail.com
Fri Aug 26 16:45:54 CEST 2016 

Dakujem vsetkym za skvele tipy a za pomoc.
Nakoniec som vcera v noci pomocou porovnania so starsou zalohou nasiel
subory co boli zmenene, pripadne nove. Bolo to na dlhsie, pretoze od
starsej zalohy sa robilo niekolko updatov roznych modulov, takze chvilu
trvalo nez som to zosrotoval, ale nasiel som v dvoch original suboroch WP
na zaciatku skodlivy kod a naslo mi to aj 3 nove subory php, kazdy v inom
foldru, kde samozrejme bol eval(...... Dalej v uploads/avatar boli subory
typu ***.php.gif a podobne perlicky, dokopy asi 5 suborov. Nechal som to
tak a nasadil som tam plugin Wordfence.

Ten odhalil komplet vsetko co ja rucne, vyhoda je ze neporovnava iba
existujuce subory co su sucastou WP, ale skenuje vsetky co su na webu a
hlada tam prave eval( char a podobne podozrive veci a odhalil aj subory co
tam boli nove...
Sikovny plugin, pomocou neho som to precistil, potom este vsetko rucne
skontroloval, nasadil som tam firewall, zakazal prihlasovanie z Ciny,
Japonska, Iranu a podobnych atraktivnych krajin, tak uvidime.

Kazdopadne neviem cez aku dieru to tam naliezlo, budem to sledovat.
Wordfence je fajn v tom, ze si tento scan robi pravidelne, da sa nastavit
kedy ma prebehnut a vysledok reportuje mailom... Takze ak sa tam aj nieco
znova nasere tak to zistim rychlo...

Chcel by som iba jednu vec na zaver:
Som na VPSfree novy, nasiel som ho nahodou. Okrem perfektnej podpory a
super serverov za vyhodnu cenu sa musim strasne podakovat vsetkym z
komunity za ochotny pristup a chut poradit. V dnesnej dobe sa to uz casto
nevidi, vacsinou kazdy na kazdeho sere... SOm velmi milo prekvapeny aka
ste fajn komunita a som z toho rad.
Sme len maly komunitny web ktory nie je ziskovy, je to len taka moja
hracka vo volnom case, to je tak ked sa stari fotri hraju na zavodnikov,
mam doma velky simulator, komplet kokpit a proste ma to bavi. Rozdiel
medzi malym chlapcom a starym fotrom je len v cene hracky :)

Nahodim na web logo vpsfree do partnerov a od dalsich sezon sa bude
na kazdom aute v nasich zavodoch vozit logo VPSfree. Potom poslem aspon  
nejaky pekny obrazok.
Viem ze to je len prazdne gesto z ktoreho nikto nic nebude mat, ale aspon  
nieco...

DAKUJEM



On Thu, 25 Aug 2016 09:58:13 +0200, Michal Pazderský <michal at squelle.com>
wrote:

> jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam,  
> kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech -  
> když přebíráme cizí projekt kde se nedodržují Drupal  
> standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají  
> většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce,  
> např. přes ty příkazy, co jsem poslal.
>
>
> On 25.8.2016 9:41, Lukas Vana wrote:
>> Ahoj,
>>
>> na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat
>> tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.
>>
>> --
>> Lukáš Váňa (fabian)
>>
>> http://www.fabian.cz <http://www.fabian.cz/>
>>
>> On 25 August 2016 at 07:26:45, Michal Pazderský (michal at squelle.com
>> <mailto:michal at squelle.com>) wrote:
>>
>>> Ahoj,
>>>
>>> u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se
>>> na nej) existuje modul Hacked, ktery ti udela diff oproti contrib
>>> modulum. Na WP bude urcite neco podobneho.
>>> Jinak obcas najde neco i clamav
>>> clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2
>>> NAZEVADRESARE
>>>
>>> dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho
>>>
>>> find NAZEVADRESARE -iname "*.exe"
>>> prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a
>>> gzinflate a ideálně také na preg_replace s /e
>>>
>>> "find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc'  
>>> \)
>>> | xargs grep ""eval *("" --color
>>> find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>>> | xargs grep -l ""base64_decode *("" --color
>>> ** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu **
>>> find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>>> | xargs grep ""gzinflate *("" --color
>>>
>>> find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>>> | xargs egrep -i ""preg_replace *\((['|\""])(.).*\2[a-z]*e[^\1]*\1 *,""
>>> --color "
>>>
>>> manuálně projít databázi na retezce
>>>
>>> <?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(,
>>> include(, include_once(, require(, require_once(, preg_replace(,
>>> create_function(
>>>
>>>
>>> On 25.8.2016 7:14, Jozef Sroka wrote:
>>> > Nazaciako by som skontroloval či ten klient naozaj volal tvoj  
>>> server, či
>>> > volal tvoju ip. Ak nie tak je to jasné
>>> >
>>> > Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy.  
>>> Zvykne
>>> > to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni
>>> > zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne
>>> > nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje  
>>> desifruje a
>>> > použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je  
>>> goaccess, z
>>> > access logu ti spraví štatistiku ktorá url sa ako často volá, aké
>>> > statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som
>>> > začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala
>>> > vec, budeš posielať e-maily alebo iné veci.
>>> >
>>> >
>>> >
>>> > _______________________________________________
>>> > Community-list mailing list
>>> > Community-list at lists.vpsfree.cz  
>>> <mailto:Community-list at lists.vpsfree.cz>
>>> > http://lists.vpsfree.cz/listinfo/community-list
>>>
>>> --
>>> Michal Pazdersky (jednatel/CEO)
>>>
>>> Squelle Group, s.r.o.
>>> Nad Palatou 2801/48, 150 00 Praha Smichov
>>>
>>> GSM: +420 733 326 468
>>> EMAIL: michal at squelle.com <mailto:michal at squelle.com>
>>> WEB: www.squelle.com <http://www.squelle.com>
>>>
>>> ....................................................
>>> CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal.
>>> EN: Drupal web development, consulting and training.
>>> ....................................................
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz  
>>> <mailto:Community-list at lists.vpsfree.cz>
>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list

More information about the Community-list mailing list