Virus na strežniku

19 naročnikov

Včeraj sem zasledil virus na vseh mojih straneh na serverju, razen na eni. Zato sem pisal na SGH support in so rekli, da je to moja stvar in da naj prijavim strani v Google Webmaster Tool in mi bo javlo kje in kaj je virus. No, pa sem to naredo (nekaj strani pa sem že mel dodanih), ampak mi Webmaster ne javi nič!
Pol sem posodobil WordPress strani, in je delalo, posodobil Joomla strani in je tudi delalo na nekaterih, danes zjutraj pa spet na vseh kaže virus,...

Kaj se da naredit, geslo do serverja sem že spremenil, Google Webmaster pa še vedno ne kaže nič,... backupov pred pojavom virusa na žalost nimam :/

Sem rešil, svojo rešitev sem napisal v tem postu:)

bobo05:

hehehe.. :) Oprosti, typo. Na bocota sem mislu.
Si dam minus :)

Aljo:
Bobo,

..........

Boco:
Narediš backup baze, lovdaš dol, preskeniraš. Na strežniku vse vržeš dol, frišno updajtano gor :) dela kot nov.
Obnoviš bazo. 15min. En klic, špgaš na TV, čik pavza,... Max. 1 urca :):)
Dela do naslednje najdene luknje v aplikaciji. CMS:) :)

LP

bobo05:
Nisem glih expert ampak mislim da sem našel izvor (vsaj za Joomla strani).

V temi beez, sem v default.php našel tole vrstico:

$return = base64encode(base64decode($return).'#content');

A bi lahko blo to to, kar mi ponovno zapiše tale virus?

@bobo5, torej pomeni, je to (kar je citirano) bila pri tebi rešitev ali kako ?

@Aljo, to pride v poštev, če res druge rešitve ni. Sedaj jo imam "workaround" in se koda avtomatsko briše bi pa rad ugotovil kdo ozirom kaj jo zapiše, ker sem spremenil VSA možna gesla in preprečil FTP dostop..

Če imaš cPanel lahko poizkusiš s priloženim Virus Scannerjem.
Če uporabljaš kakšno standardno aplikacijo (Joomla, WP, ipd.) se sicer take zadeve nahajajo na vedno enakih mestih, tako da jih tudi ročno ni težko najti.

Sicer pa lahko povprašaš za pomoč svojega ponudnika gostovanja, ki ti lahko tudi pogleda katere datoteke so bile spremenjenje v zadnjih 24 urah - na tak način se ti krog iskanja bistveno zmanjša.

suprpp ..... imam svoj strežnik in ja v zadnji uri je bilo spremenjenih cca 5000 datoek, ki sem jih takoj popravil in izbrisal škodljivo kodo. Iščem izvor ZLA.

Aha root dostop.

Si opravil domačo nalogo?
Rootkit, log files,....
Kernel verzija, firewall, mod_sec (je nujen pri cms-ih) in podobna prepotrebna navlaka?

suhosin?

Pogledaš čase datotek in pogledaš v:
- apache log ob tem času pri domeni
- preveriš še FTP log ob tem času pri domeni

Živijo vsem,

Striček gugl je pa danes zjutraj mene presenetil glede zlonamerne kode na moji strani:
http://labs.sucuri.net/db/malware/malware-entry-mwblk2

Iščem po strani, a tega nikjer ne najdem. Se je kdo že srečal s temle?

Poglej v .html in .js datoteke, če se ti je vrinila zlonamerna koda.
Ponavadi jo je zelo enostavno prepoznat kot en 'blob' nerazumljive kode in/ali teksta.
Najlažje je sicer pogledat, katere datoteke so bile nazadnje spremenjene.

Sicer pa iz priloženega linka ni možno sklepati kaj dosti.

Hm,

gugle webmaster tool mi je izpostavil datoteko motools.js kot zlonamerno kodo.

Ravnokar čekiram...