[vpsFree.cz: community-list] prosim pomoc zeby hacknuty server alebo web
Matěj Koudelka
matej at hxpro.cz
Fri Aug 26 22:31:33 CEST 2016
Vubec to neni prazdne gesto, je to fajn vozit se na zavodaku :).
Dne 26.8.2016 16:46 napsal uživatel "kypo" <kypo46 at gmail.com>:
> Dakujem vsetkym za skvele tipy a za pomoc.
> Nakoniec som vcera v noci pomocou porovnania so starsou zalohou nasiel
> subory co boli zmenene, pripadne nove. Bolo to na dlhsie, pretoze od
> starsej zalohy sa robilo niekolko updatov roznych modulov, takze chvilu
> trvalo nez som to zosrotoval, ale nasiel som v dvoch original suboroch WP
> na zaciatku skodlivy kod a naslo mi to aj 3 nove subory php, kazdy v inom
> foldru, kde samozrejme bol eval(...... Dalej v uploads/avatar boli subory
> typu ***.php.gif a podobne perlicky, dokopy asi 5 suborov. Nechal som to
> tak a nasadil som tam plugin Wordfence.
>
> Ten odhalil komplet vsetko co ja rucne, vyhoda je ze neporovnava iba
> existujuce subory co su sucastou WP, ale skenuje vsetky co su na webu a
> hlada tam prave eval( char a podobne podozrive veci a odhalil aj subory co
> tam boli nove...
> Sikovny plugin, pomocou neho som to precistil, potom este vsetko rucne
> skontroloval, nasadil som tam firewall, zakazal prihlasovanie z Ciny,
> Japonska, Iranu a podobnych atraktivnych krajin, tak uvidime.
>
> Kazdopadne neviem cez aku dieru to tam naliezlo, budem to sledovat.
> Wordfence je fajn v tom, ze si tento scan robi pravidelne, da sa nastavit
> kedy ma prebehnut a vysledok reportuje mailom... Takze ak sa tam aj nieco
> znova nasere tak to zistim rychlo...
>
> Chcel by som iba jednu vec na zaver:
> Som na VPSfree novy, nasiel som ho nahodou. Okrem perfektnej podpory a
> super serverov za vyhodnu cenu sa musim strasne podakovat vsetkym z
> komunity za ochotny pristup a chut poradit. V dnesnej dobe sa to uz casto
> nevidi, vacsinou kazdy na kazdeho sere... SOm velmi milo prekvapeny aka
> ste fajn komunita a som z toho rad.
> Sme len maly komunitny web ktory nie je ziskovy, je to len taka moja
> hracka vo volnom case, to je tak ked sa stari fotri hraju na zavodnikov,
> mam doma velky simulator, komplet kokpit a proste ma to bavi. Rozdiel
> medzi malym chlapcom a starym fotrom je len v cene hracky :)
>
> Nahodim na web logo vpsfree do partnerov a od dalsich sezon sa bude
> na kazdom aute v nasich zavodoch vozit logo VPSfree. Potom poslem aspon
> nejaky pekny obrazok.
> Viem ze to je len prazdne gesto z ktoreho nikto nic nebude mat, ale aspon
> nieco...
>
> DAKUJEM
>
>
>
> On Thu, 25 Aug 2016 09:58:13 +0200, Michal Pazderský <michal at squelle.com>
> wrote:
>
> jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam,
>> kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - když
>> přebíráme cizí projekt kde se nedodržují Drupal standardy/doporučení. Ale z
>> hlediska bezpečnosti/napadení bývají většinou nové soubory a ty to už
>> neodhalí a je potřeba bližší inspekce, např. přes ty příkazy, co jsem
>> poslal.
>>
>>
>> On 25.8.2016 9:41, Lukas Vana wrote:
>>
>>> Ahoj,
>>>
>>> na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat
>>> tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.
>>>
>>> --
>>> Lukáš Váňa (fabian)
>>>
>>> http://www.fabian.cz <http://www.fabian.cz/>
>>>
>>> On 25 August 2016 at 07:26:45, Michal Pazderský (michal at squelle.com
>>> <mailto:michal at squelle.com>) wrote:
>>>
>>> Ahoj,
>>>>
>>>> u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se
>>>> na nej) existuje modul Hacked, ktery ti udela diff oproti contrib
>>>> modulum. Na WP bude urcite neco podobneho.
>>>> Jinak obcas najde neco i clamav
>>>> clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2
>>>> NAZEVADRESARE
>>>>
>>>> dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho
>>>>
>>>> find NAZEVADRESARE -iname "*.exe"
>>>> prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a
>>>> gzinflate a ideálně také na preg_replace s /e
>>>>
>>>> "find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>>>> | xargs grep ""eval *("" --color
>>>> find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>>>> | xargs grep -l ""base64_decode *("" --color
>>>> ** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu **
>>>> find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>>>> | xargs grep ""gzinflate *("" --color
>>>>
>>>> find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>>>> | xargs egrep -i ""preg_replace *\((['|\""])(.).*\2[a-z]*e[^\1]*\1 *,""
>>>> --color "
>>>>
>>>> manuálně projít databázi na retezce
>>>>
>>>> <?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(,
>>>> include(, include_once(, require(, require_once(, preg_replace(,
>>>> create_function(
>>>>
>>>>
>>>> On 25.8.2016 7:14, Jozef Sroka wrote:
>>>> > Nazaciako by som skontroloval či ten klient naozaj volal tvoj server,
>>>> či
>>>> > volal tvoju ip. Ak nie tak je to jasné
>>>> >
>>>> > Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy.
>>>> Zvykne
>>>> > to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni
>>>> > zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne
>>>> > nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje
>>>> a
>>>> > použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je
>>>> goaccess, z
>>>> > access logu ti spraví štatistiku ktorá url sa ako často volá, aké
>>>> > statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som
>>>> > začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala
>>>> > vec, budeš posielať e-maily alebo iné veci.
>>>> >
>>>> >
>>>> >
>>>> > _______________________________________________
>>>> > Community-list mailing list
>>>> > Community-list at lists.vpsfree.cz <mailto:Community-list at lists.v
>>>> psfree.cz>
>>>> > http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>> --
>>>> Michal Pazdersky (jednatel/CEO)
>>>>
>>>> Squelle Group, s.r.o.
>>>> Nad Palatou 2801/48, 150 00 Praha Smichov
>>>>
>>>> GSM: +420 733 326 468
>>>> EMAIL: michal at squelle.com <mailto:michal at squelle.com>
>>>> WEB: www.squelle.com <http://www.squelle.com>
>>>>
>>>> ....................................................
>>>> CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal.
>>>> EN: Drupal web development, consulting and training.
>>>> ....................................................
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz
>>>> >
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20160826/a47db405/attachment-0002.html>
More information about the Community-list
mailing list