#26 2011-11-11 22:03:41

VaclavMacurek

Člen

Registrován: 2009-12-09

Příspěvky: 124

Re: prý malware

Něco podobného se mi stalo kdysi (nějaký ten rok zpátky) u Webzdarma.

Řešení:
1. vlézt do FTP, soubory webu stáhnout a projít všechny soubory
2. jeden nebo i více souborů bude mít změněný obsah - myslím, že tam je text ve stylu skriptu jazyka JavaScript, který se bude snažit o přesměrování někam jinam - nebo něco takového
3. takto postižené soubory bez milosti nahradit novými (zálohou z vlastního počítače)

4. pokusit se zabezpečit web - .htacesss soubor, soubor robots.txt atd. - a možná změnit způsob vytváření výsledného HTML kódu (aby nebylo kam ten škodlivý kód vložit)

elginor

Člen

Registrován: 2010-04-26

Příspěvky: 167

Re: prý malware

Takže - ad 1)
Myslíš, že poznám jazyk Java script
ad2)
na ftp se dostanu, ale kde byla provedena změna vůůůůbec netuším
ad 3)
endoru asi napadli ufoni, protože mě to při zadání stránek <!-- w --><a class="postlink" href="http://www.smartnews.cz">www.smartnews.cz</a><!-- w --> přehodí na endoru s nápisem, že obsah webu nedodán.
ad4)
po kontrole na webadminu jsem zjistila, že soubroy tam jsou (to nakonec dokladuje i ftp), ale trafic je na 0.
Tak nevím, ufoni si zřejmě na mě zasedli.  :evil:

VaclavMacurek

Člen

Registrován: 2009-12-09

Příspěvky: 124

Re: prý malware

1.  :?: Bude tam něco ve stylu

<script type="text/javascript">
.....
</script>

... ale změněno toho asi bude víc

2. Jelikož při uploadu u souborů uložených na FTP uvádí datum nahrání coby datum poslední změny - a já předpokládám, že všechny soubory byly nahrány najednou - pak se změněné soubory dají snadno určit (protože nevěřím, že by v rámci běhu aplikace byly některé soubory měněny)

3. no, mě Firefox hlásí, že stránky byly nahlášeny jako útočné

4. traffic bude nulový kvůli tomu, že se lidem zobrazí varování o nahlášení té prezentace jako útočné - a tedy nedojde k načtení vlastní prezentace a přenosu jakýchkoli informací

elginor

Člen

Registrován: 2010-04-26

Příspěvky: 167

Re: prý malware

Stránky byly nahlášeny jako útočné, ale nic tam nebylo. Pak, když už jsem na googly vrčela hodně a několikrát, tak mi to asi 4-5 dní běželo. A teď zase. Bojím s pustit na facebook svoje druhé zpravodaajské stránky, protože se obávám, že by je kvůli obsahu čekal stejný osud. Mám tam, stejně jako na smartnews objektvinější zprávy z Ruska, než jsou oficiální. A kritika googlu se týká právě ruských stránek. Tak fakt nevím, co s tím. To mi tam každý blb může nacpat nějaký malware, nebo alespoň jeho atrapu? Děkuji pěkně. A to mám AVG a všechny záplaty Windousů.  :evil:

elginor

Člen

Registrován: 2010-04-26

Příspěvky: 167

Re: prý malware

A navíc mi to hlásí, že chybí obsah, ale ten obsah tam je.

VaclavMacurek

Člen

Registrován: 2009-12-09

Příspěvky: 124

Re: prý malware

1. Pokud není nic v jakémkoli z souborů těch stránek, je to divné (ale musel bych vidět jejich zdrojové kódy - a vědět v jakém softwaru byly vytvořeny, abych byl schopen odhalit případnou změnu kódu).
2. FB a Google: FB nepoužívám (a jsem šťastný jak blecha ... na mezinárodní výstavě psů), ale doporučuji to zkusit. Přeci jen, není veřejný ... a to by mohla být proti volně vyhledatelnému a navštívitelnému Smartnews výhoda.
3. Chybějící nechybějící obsah - tak to je hodně divné.

... a na konec:
Zobrazil jsem si hlášku Googlu o zavirování Smartnews.cz: a jmenuje nějaké tři servery (ruského původu ... přinejmenším podle TLD ... a ani se tomu nedivím ... ), odkud dochází či docházelo k instalaci malwaru - a také jednu síť.

elginor

Člen

Registrován: 2010-04-26

Příspěvky: 167

Re: prý malware

Je to vytvořené ve wordpress nainstalovaného přímo z endory.
Jaké kódy k tomu potřebuješ? Mluvíš s IP troglodytem
Pokud jde o facebook, tak tam jsem dávala odkazy na svoje stránky smartnews, protože velké příspěvky se tam nedají umístit. Vypadá to, že to budu muset celé zrušit a začít znova, což mě hodně štve. Sotva se na to lidi naučili trochu chodit, už je to v háji.

elginor

Člen

Registrován: 2010-04-26

Příspěvky: 167

Re: prý malware

na ftp v obsahu stránek smartnews jsem zašla do složky wp-content. Je tam index.php, který obsahuje dvě slova Silence is golden čili mlčeti zlato. Myslíte, že to je o tom?

Martin

Endora rádce

Místo: Plzeň

Registrován: 2011-01-19

Příspěvky: 1,375

Web

Re: prý malware

Už to tu řešíte nějak dlouho ne? Nevím v jakém stavu je teď problém, protože mi váš web nefunguje, resp. nenačítá se. Indexy s obsahem <?php //Silence is golden. ?> jsou vloženy přímo od tvůrců WordPress...
Neznám podmínky pro odstraněné varovné zprávy, že se jedná o útočný web před vstupem na web, ale postupoval bych tak, že bych si zálohoval soubor wp-config.php, který zaručí připojení se k databázi, která je potřeba a kterou bych já osobně nemazal, pak bych udělal zálohu vlastní šablony, pokud tam máte hodně změn, protože určitě budtete chtít web tak jak byl dřív no a potom ještě složku uploads, do které se uploadují média z WP administrace. Samozřejmě jsou další kroky jen na vás, jestli si zálohujete i pluginy atd., ale u tich bych si raději opsal jejich název a následně je nainstaloval prostřednictvím administrace znova.
Nápady jako ruční prohledávání souborů na FTP mi přijdou naprosto absurdní a bláznivé, protože kdo někdy prohlédl celé FTP, které používá WordPress, tak by nic takového nikdy neřekl...
To co jsem zde napsal je sice pracné, ale prakticky si tím vyčistíte FTP od všeho a nahradíte to tím co tam má být. Jediné co bude původní bude ten wp-config, ve kterém pravděpodobně nic nebude, pak možná složka uploads, ve které také nejspíše nic útočného nebude a jediná hrozba může být ta šablona. Ta by to teoreticky mohla dělat a to už třeba od základu, ale to už bych jen hádal...
Pokud by nic z toho nepomohlo, tak bych se podíval do databáze, která zůstala a vyhledal tam URL s ruskou koncovkou jak zde někdo zmiňoval a jednoduše to smazal / pročistil...
Pak už je to opravdu na odstřel a založení nového webu od začátku (rozhodně lepší cesta, než zde něco půl roku řešit a nevyřešit)...

---

Nejnovější článek: www.zeminem.cz ...
Černé díry jsou místa, kde Bůh dělil nulou...
Endora plugin!

VaclavMacurek

Člen

Registrován: 2009-12-09

Příspěvky: 124

Re: prý malware

Nápady jako ruční prohledávání souborů na FTP mi přijdou naprosto absurdní a bláznivé, protože kdo někdy prohlédl celé FTP, které používá WordPress, tak by nic takového nikdy neřekl...

Jelikož jsem netušil, že ty stránky jsou záležitostí WordPressu - což bylo napsáno až po mém dotazu.

Pokud by nic z toho nepomohlo, tak bych se podíval do databáze, která zůstala a vyhledal tam URL s ruskou koncovkou jak zde někdo zmiňoval a jednoduše to smazal / pročistil...

URL s ruskou TLD byl také můj nápad. Konkrétně by mělo jít o:
digestinnitial.ru, vidimacontract.ru - a assistant-first.ru

elginor

Člen

Registrován: 2010-04-26

Příspěvky: 167

Re: prý malware

Klucííí, a kde najdu tu databázi? Jak se to jmenuje v FTP? Všechno ostatní mám z FTP vymazat a nechat tam jen  ten soubor, nahrát novou šablonu? Mluvíte s troglodytem na uživatelské úrovni. Pravda, studuji si v knize o wordpressu, ale na ty hajzlíky heckrácké to zjevně nestačí.
Díky
Zkusím ještě to, co mi radíte, a pak už se na to vykvajznu. Právě mi došla trpělivost.  :evil:
Jen nevím, jak ty stránky udělat znovu. Znovu nahrát ze systému Endory wp? Šablona, kterou mám v poči je v pohodě. Projela jsem ji vším možným, a je čistá.

elginor

Člen

Registrován: 2010-04-26

Příspěvky: 167

Re: prý malware

Tak jsem se naštvala a u smartnews.cz jsem nahrála nový wp, a ono nic. Přehrává se to na endoru ouplně stejně. Tak to už fakt nevím co s tím, protože se tam nijak nedostanu