Er bloggen min hacket, eller?

Mr Vest

Mr Vest

Sjefen over alle sjefer!
Jeg fikk med meg denne i går hvor vi også finner ut at denne ormen faktisk sniker seg innom sql-databaser. Kanskje det også kan være noe,? så har jeg hvertfall nevnt det. :)
 
gano

gano

Medlem
Tonny:

Kanskje det burde opprettes en egen kategori som tar for seg websikkerhet. Sliter noe voldsomt med dette selv. Har ikke tatt dette så altfor alvorlig frem til nå, men etter å ha blitt hacket tre ganger på under en måned (siste gang i forgårs) har jeg blitt tvunget til å gå igjennom en rekke sider jeg har ansvaret for med lupe.

Blir rimelig oppgitt av at nettsteder stadig går ned. I løpet av den siste uken har jeg brukt tre av fem dager på å rydde opp. Den største opprydninggen skjedde etter at flere wordpress nettsteder ble hacket -var litt for seint ute med å oppgradere:(. Sikkerhetshullet i wordpress førte også til at en rekke andre sider som brukte samme database gikk ned. Det tok noen timer før jeg skjønte sammenhengen.
 
Gaasehud

Gaasehud

Medlem
Kommer ikke inn på siden din jeg, mulig jeg prøver/prøvde i et pkt hvor du tok den ned for å redigere. Men om dette bare er via google-søket kan du jo prøve WPs interne søk? :) Om du er litt rusten på kode kan jeg slenge opp en snutt som viser hvordan.
 
Magnus Tangen

Magnus Tangen

Medlem
Stemmer at ingen ting dukker opp. Har opplevd mye tull med respond-tiden på den bloggen, og har klaget min nød til servage.net som hver gang lover at de skal sjekke det. Som regel ordner det seg selv,.. men duverden så irriterende. Må si jeg var veldig fornøyd med servage.net de første årene, men siste år har det vært mye tull...
Dersom bloggen ikke dukker opp igjen skal jeg likevel ikke skylde på servage. Det kan jo være at jeg - med min mangel på kunnskap - har rota det til da jeg sloss mot monster-viruset... Merker at jeg er i dårlig humør i kveld...
 
picxx

picxx

WF 09
Magnus Tangen skrev:
Dersom bloggen ikke dukker opp igjen skal jeg likevel ikke skylde på servage. Det kan jo være at jeg - med min mangel på kunnskap - har rota det til da jeg sloss mot monster-viruset... Merker at jeg er i dårlig humør i kveld...
Klikk for å utvide...

Servage har dårlig sikkerhet på sine servere.
DDos angrep titt og ofte, virus som sprer seg lynrakst på deres servere og en ekstrem liten vilje til å forbedre dette.
Lurer egentlig på om de har en stående invitasjon til hackere liggende ute på ett eller annet forum?
 
picxx

picxx

WF 09
Tonny skrev:
Hvordan finner du ut at du er smittet?
Klikk for å utvide...

Når du laster siden ser du at det også lastes noe fra gumblar.cn eller martuz.cn + at det ligger en helsikes javastring mellom </head> og <body> i kildekoden.
På pc'en finner du det ikke ut på annen måte enn at du bare må kjøre dypsøk med ditt virusprogram. Erfaringsmessig har avast vært veldig flink til å blokke/finne slike sider.

Sider som får dette infisert blir lynrakst blokkert av google, men de blir like lynraskt åpnet igjen etter at man har fjernet det og varslet om dette i GWT.
 
picxx

picxx

WF 09
...om det er flere som er smittet kan jeg legge inn en forklaring på hvordan man enklest blir kvitt svineriet på wordpress blogger. På wordpress tar det ca. en halvtime å bli kvitt det. På andre sider med andre cms eller egen kode noe lengre, da man må søke gjennom alle filer og foldere. Det tok meg tre hele dager å fjerne dette fra en side som brukte cpgdragonfly.
 
picxx

picxx

WF 09
Tonny skrev:
Gjelder dette alle sider på nettstedet eller kan det gjelde kun noen sider?
Klikk for å utvide...

På statistike sider med kun .html filer var koden lagt inn i alle filene.
På wordpres lå koden ofte i index, config og system filer (altså, som hadde dette navnet i filene f.eks. system.hp,kj.php eller all.config.js).
Både .php filer, .html filer og .js filer var hacket, men har ikke funnet andre filer enn dette (f.eks. .asp) som har blitt hacket.
Det blir også skrevet filer til images foldere. Disse er images.php og gifimages.php.

For å svare direkte på ditt spørsmål, ja, dette gjelder alle sider på ditt nettsted.

*****
Kan ta kortversjonen på hvordan du fjerner dette fra din wp innstallasjon.

Last ned Actual Search & Replace - File Find/Replace Utility, Tool for Text Files til din maskin.
Gå inn i din wp-content folder og last ned mappene
/plugins/
/themes/
+index filen

Søk gjennom disse for disse stringene:
<?php if(!function_exists('tmp_lkojfghx'
(function(rNL){var JcN
(function(){var iow='%';eval(unescape
<?php eval(base64_decode
<?php if(!function_exists('tmp_lkojfghx')
(function(sKk){var YC4='%';var jlk=unescape
(function(){var Twtj=unescape

edit: dette er bare en liten string av selve koden, så pass på at du får slettet hele stringen i hver fil. Search and replace verktøy er en god hjelper.

Slett stringen med badware i filene.
I images og gifimages filene, slett stringen, last opp filene og sett dem som 444.(ikke skrivbare og ikke lesbare)

Ta deretter en oppgradering på wordpress.
Slett wp-admin og wp-includes...last opp nye filer.

Ikke glem å fortelle GWT om at siden er fri for virus/malware om du allerede har blitt blokkert. Dette går kjapt.
 
skogtrollet

skogtrollet

Medlem
Det som er så kjedlig med å bli hacket er at ofte ligger det igjen bakdører alt. Så for å være helt sikker må man renske hele området ditt, også det som ikke ligger i www området. I tillegg til å renske databasen. Eventuelt restore en backup som ikke er infisert.
 
L

let100

Medlem
Når jeg klikket på denne linken: nyhetskommentar.com/?p=2619 kommer det opp en advarsel fra virusprogrammet mitt, om at det er en trojansk hest på siden.
 
Sist redigert av en moderator:
Du må logge inn eller registrere deg for å svare her.
Topp