Virus ve wordpressu, napadene themes

31. 8. 2011 08:22:46

Pred par dny jsem v jednom z wordpressu nasel virus (malware). Vypada to na vetsi problem. Dira je v knihovne TimThumb.php, kterou pouzivaji nektere themes a pluginy na upload. Utocnici pres nej zmeni javascript soubory (u me jquery) a nainstaluji backdoor.

Vypada to, ze nahrazeni TimThumb.php novou verzi uplne nepomuze, je treba zakazat $allowedSites, respektive vyrobit nulove pole... Jsem zvedav, jestli me zasahy pomohly a zitra bude web stale cisty.

Par odkazu:

http://sucuri.net/malware/malware-entry-mwjs2368

http://blog.sucuri.net/2011/08/timthumb-php-security-vulnerability-just-the-tip-of-the-iceberg.html

http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/

---------- Příspěvek doplněn 31.08.2011 v 08:39 ----------

Seznam pluginu, ktere vyse uvedeny skript pouzivaji. Pokud je pouzivate, zkontrolujte verzi atd...

---------- Příspěvek doplněn 31.08.2011 v 08:40 ----------

A zde nektere zname themes, ktere by mohly mit problem

31. 8. 2011 08:22:46

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672429

Jaromir Fojtu

(10 hodnocení)

31. 8. 2011 20:16:19

Mno, Ta dira je znama cca 2 tydny. Co jsem zkousel, tak jsem nasel pres 50K zranitelnych webu. A nebyl jsem jediny ;)

Takze pokud jsi mel zranitelny web, tak urcite prekontroluj logy a zjisti co se delo.

Zkontroluj zmenene a pridane soubory.

Zmen hesla na FTP/MySql/WP

Projed databazi na podezrele veci...

31. 8. 2011 20:16:19

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672428

Bigdrobek

(3 hodnocení)

17. 11. 2011 22:36:31

Ahoj,

tak to vypadá že jsem měl/mám tento problém. Snažil jsem se malware nebo virus odstranit ale nevím jestli úspěšně.

Napadené byly šablony jak se píše, skript ze securi.net našel:

Plugin ihned smazán.

Dotazy:

1)Jak mám projet databázi na podezřelé věci? V Myphpadmin jsem fakt začátečník...

2)Zde jsem popsal celý postup jak jsem odstranil(pokoušel se) malware z blogu. Prosím o připomínky a další doporučení

Děkuji,

Bigdrobek

17. 11. 2011 22:36:31

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672427

buffy

(5 hodnocení)

18. 11. 2011 10:41:50

jsi na to sel tezkym kalibrem, reinstall wordpressu jsem nepotreboval. melo by stacit deaktivovat a smazat prislusne pluginy. v databazi jsem virus neobjevil a rucne pres phpmyadmin je to hodne pracne s nejistym vysledkem. Testoval bych web jeste par dni po zasahu na viry a kontroloval, zda se zmeni datum upravy souboru na ftp.

18. 11. 2011 10:41:50

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672426

Bigdrobek

(3 hodnocení)

19. 11. 2011 07:24:08

Jo začali přibývat soubory ve wordpressu (zjistil websitedefender) - byl jsem označen za malware. "Reinstalací wordpressu jsem myslel smazání všeho kromě fotek (adresář upload s blog.dir)... A stejně jsem včera večer objevil infikované index soubory index.php ....

19. 11. 2011 07:24:08

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672425

Stepan L.

(60 hodnocení)

20. 11. 2011 01:28:15

Ve většině případů doporucuji nakopirovat pouze nove soubory na ftp, zkontrolovat a ponechat wp.config.php a pote znovu nainstalovat pluginy + se podivat na datum zmeny u souboru sablony a ty rucne zkontrolovat zda-li se na zacatku nebo na konci nenachazi iframe nebo js, zmenit hesla / db/ftp :-)

+ ve vetsine pripadu jsou infikovane soubory index.php

20. 11. 2011 01:28:15

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672424

jik

20. 11. 2011 09:25:00

Problém jsem měl v září na 6 placených template...mě teda nasrali nicméně díky secure pluginu kde jsem s koupí váhal mi ihned na email došel warning a do hodiny se mi prohrabali na plotně vše ručně! vyčistili a updatovali a dali do pořádku a to se za 120 UDS ročně kurwa vyplatí než pak koukat jak Jarin na husí sádlo nebo se v tom hrabat.

Kdo chce si může proskenovat web taky jak píše buffy.cz zde http://sitecheck.sucuri.net/scanner/.

A ještě zde link

20. 11. 2011 09:25:00

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672423

buffy

(5 hodnocení)

23. 11. 2011 18:57:42

tak hlasim dalsi svini. tentokrat ne pres TimThumb.php :( Je to neco jineho. pluginy vypadaji ciste, mam podezreni na sablonu. Napadene byly vsechny i prazdne index.php, index.html a footer.php

---------- Příspěvek doplněn 23.11.2011 v 19:27 ----------

Zde jeden malware vc. Offensive html code, ktery jsem mel vlozen do souboru.

http://sakrare.ikyon.se/log.php?id=12396

Po rozkodovani to vola -- URL odstraněno --

Kazdopadne server nefunguje, takze to pousteji asi jednou za cas.

23. 11. 2011 18:57:42

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672422

Bigdrobek

(3 hodnocení)

24. 11. 2011 08:22:45

Mrkni sem, asi je to tohle....

This attack is related to the MW:JS:DEPACK one. http://wordpress.org/support/topic/fatal-error-cannot-redeclare-_765258526

24. 11. 2011 08:22:45

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672421

buffy

(5 hodnocení)

24. 11. 2011 08:56:58

vcera jsem to komplet vycistil. podle toho stringu by to mohl byt on. kazdopadne stale nemam bezpecnostni diru kudy sel dovnitr.

24. 11. 2011 08:56:58

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672420

Bigdrobek

(3 hodnocení)

26. 11. 2011 23:05:15

Tak a máme tu identifikaci co se stalo a jak to vyčistit Clean Up “Cannot redeclare” Hack ....It seems closely related to the nefarious TimThumb hack,

26. 11. 2011 23:05:15

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672419

buffy

(5 hodnocení)

7. 1. 2012 20:24:53

dalsi napadeni wordpressu, premyslim o zmene sablony. dela mi to jeden wordpress asi z 30ti.

tentokrat napadene veskere JS soubory

virus:

--kod odstranen--

dekodovano

zde nejake dalsi informace: http://dan.cx/blog/2011/11/pulling-apart-wordpress-hack

7. 1. 2012 20:24:53

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672418

Tomáš Faldyna

(54 hodnocení)

7. 1. 2012 20:46:19

No to je super :D http://webtrh.cz/165978-virus-webtrhu

7. 1. 2012 20:46:19

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672417

buffy

(5 hodnocení)

7. 1. 2012 21:48:47

tak to sorry, kopiroval jsem to z jineho fora, netusil jsem. jeste jedno omluva. vlozit to do kodu nebo jak, aby to bylo videt?

7. 1. 2012 21:48:47

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672416

Tomáš Faldyna

(54 hodnocení)

7. 1. 2012 21:50:26

Napsal buffy.cz;741589
tak to sorry, kopiroval jsem to z jineho fora, netusil jsem. jeste jedno omluva. vlozit to do kodu nebo jak, aby to bylo videt?

Idealne asi screen... ten by "antiviru" nemel vadit :D

7. 1. 2012 21:50:26

https://webtrh.cz/diskuse/virus-ve-wordpressu-napadene-themes#reply672415