Virus na strežniku
19 naročnikov
19 naročnikov
Včeraj sem zasledil virus na vseh mojih straneh na serverju, razen na eni. Zato sem pisal na SGH support in so rekli, da je to moja stvar in da naj prijavim strani v Google Webmaster Tool in mi bo javlo kje in kaj je virus. No, pa sem to naredo (nekaj strani pa sem že mel dodanih), ampak mi Webmaster ne javi nič!
Pol sem posodobil WordPress strani, in je delalo, posodobil Joomla strani in je tudi delalo na nekaterih, danes zjutraj pa spet na vseh kaže virus,...
Kaj se da naredit, geslo do serverja sem že spremenil, Google Webmaster pa še vedno ne kaže nič,... backupov pred pojavom virusa na žalost nimam :/
60 odgovorov
Potem ima očitno nekdo "root" dostop (al kakorkoli se že temu reče). To pomeni da moraš najprej rešiti okužen server. Drugače lahko vsak dan brišeš po fajlih.
Zdaj pa res nevem, neka avto generate skripta more bit na serveru, ker ob 5h sem zbriso vse v fajlih, evo spet je not.
A je že mel kdo te težave? Kaj se da nardit?
Od hosting providerja sem dobo tole.
Great! Just what I wanted to hear!
Removal can be complicated or practically impossible, especially in cases where the rootkit resides in the kernel; reinstallation of the operating system may be the only available solution to the problem.
A ga je že kdo mel? Če pišem hosting providerju mislite da bi mogli oni to popravit oz ga odstranit, glede na to da je shared hosting?
Zdaj ni mi jasno kak sem ga dobil, a je možno da je na mojem računalniku al je direkt na serverju?
Hvala Matjaž!
mistique:
UnHackMe je učinkovito orodje, ki sem ga uporabljal še v obdobju spletne naive.
Hvala, sem inštaliro in prevero. Moj računalnik je "čist".
ne met pravic 777 in podobno na fajlih pa boš imel mir.. vsi ti okuzeni imajo pravice in ti lahko pise po njih vsak preseli na vps instaliraj zascito pa bos imel mir
Tvoj računalnik je čist, samo server ni ;)
Tudi sprememba pravic na datotekah ne bo koristila, če ne bo spucal serverja. Pa verjetno že ima 755/644 pravice nastavljene.
Žal ti kaj več ne morem svetovati, serverji niso moja jaka strana. Morda se oglasi še kdo od stručkotov.
Najbolje bi bilo vprašat na hosting kako pride do tega.
- Imaš okužen FTP client
- Spiz*** so ti geslo in nalagajo sami
- Imaš exploitable joomlo ali kaj podobnega
Tole so najbolj pogosti primeri pri nas.
Kot prvo obvezno zamenjaj geslo in ga ne hrani več v FTP clientu.
Updataj vse skripte na zadnje verzije.
Z antivirusom preveri svoj računalnik
OvcaX:
Najbolje bi bilo vprašat na hosting kako pride do tega.
- Imaš okužen FTP client
- Spiz*** so ti geslo in nalagajo sami
- Imaš exploitable joomlo ali kaj podobnega
Tole so najbolj pogosti primeri pri nas.
Kot prvo obvezno zamenjaj geslo in ga ne hrani več v FTP clientu.
Updataj vse skripte na zadnje verzije.
Z antivirusom preveri svoj računalnik
Po logih mi kaže, da sta se gor konektala v zadnjem mescu le 2 IP-ja. Moj in kolegov.
Geslo menjal iz neokuženega računalnika.
Vse sem posodobil, poslal na SGH in so rekli:
No, it is not a root kit, the server itself is not infected. It is only the files hosted under your account.
It is most likely that the problem was caused due to a vulnerability found in one of Wordpress scripts or plugins.
The best advice would be backing up Wordpress databases and images, re-installing Wordpress blogs from scratch and then restoring databases/images.
Even if you remove all malware found by our anti virus, there may be still a back door injected to one of your scripts which can't be detected.
And in this case the problem will happen again.
Zdaj sem server čisto spucal, vse testne WordPresse, ko sem testiral gor teme, sem zbriso, prav tako pa sumim na eno skripto oz spletno igro, ki jo je imel en kolega gor. Če se pa to spet pojavi, pa kaj je najboljše da naredim? Grem v WP in izvozim vsebino, pa potem spet na sveže inštaliram zadevo?