Sito Web infetto da "reindirizzamenti" indesiderati, apparentemente tramite codice javascript

3

Sto lavorando su un sito Web di clienti e mi rendo conto che sono stati compromessi. All'inizio di oggi c'era un grosso problema con un problema di php eval(base64_decode . Questo è stato ripulito tramite Andy Stratton clean.php repair (che cerca i file infetti e poi li elimina). Il sito web è stato ricostruito con il verbo Wordpress code e un tema fidato. 12 ore dopo vedo molti reindirizzamenti indesiderati. I reindirizzamenti stanno andando in un luogo strano all'estero da qualche parte. In effetti, i reindirizzamenti potrebbero non essere il termine corretto. Riesco a vedere tutti i contenuti dei siti originali che vengono caricati negli strumenti di sviluppo e, alla fine del caricamento, acquisisce un'immagine e un lettore musicale e incolla una semplice pagina html. L'immagine è http://i.hizliresim.com/g4rXl2.png L'URL visualizzato è l'originale selezionato sul sito.

Comefacciosolounpo'ditest,trovocheilproblemasembraesserecorrelatoaJavaScript.SespengoilJS,nessunreindirizzamento.Eccolemiedomande:PossoutilizzareglistrumentiJSinChromeperidentificarequalefileèilpiùsospetto?(pausasulleeccezioni,ecc.)EsisteunmodoperscansionaretuttiifilepercercareilcodiceJSmalvagio?Hoprovatoglistrumenticomuni&luoghidarecensire,senzarisultati.Sicuramentenonèunproblema.htaccess.

SonomoltocuriosodipoterpassareattraversoilcodiceJavaScriptinChromeevederedovevannolecose.SospettochelasoluzioneperquestosiapulireilVPSereinstallarlo,manelfrattemposonocurioso.Possorilevaredovesitrovailcodicedelmale?

Enota,nonhoaccessocompletoalserver.HosolocPaneleampli;AccessoFTPInoltre,ilsitovieneoffertotramiteCloudFlare.Moltegrazieperiltuoaiuto.

Aggiornamento:abbiamoscopertodovesitrovavailcodiceerrante...EraneldatabasemySQLinunacellanormalmenteriservataalcontenutodelwidget.Ilcodiceeraabbastanzagrande,1530lineedigobbledygook.Alcuneparoleinchiaro,altreincodicecriptico.Èstrongmenteoffuscatoconcodicecon:e;elementi.Apparentementequestoclienteèstatocolpitoinprecedenza,illoroattualewebmanvuolelanciarecerottisulsito.Pensodiaverconvintoilproprietariodell'aziendaametterelasuaattivitàaltrove,emetterealsicurotutto.

Unadomanda.Poichéildatabaseècompromesso,esisteunmodosicuroperclonareilsitosuunnuovoserver?ImmaginodipotercercarenelDBmodellifamiliaribasatisuquestobloccodicodice,mainrealtànonèrobusto.SochepossocreareunbackupXMLdelcontenutodalpannellodicontrollodell'amministratore->Esportare.IlformatoèinrealtàchiamatoWordPresseXtendedRSSoWXReconterràpost,pagine,commenti,campipersonalizzati,categorieetag.Possorivederequellevocivisivamente,pervedereselecosehannounsenso.

QualchealtraideasullaclonazionediunsitoconalmenounvirusnelDB??

Inoltre,esisteunrepositorypergliutentilegittimicheinseguonoivirus"per inviare questo esempio di recente attività JavaScript? Ovviamente non lo posterò qui, per evitare di dare agli altri la possibilità di crearne altri. per esempio. devo inviare il codice a gente come sucuri.net o da qualche altra parte?

    
posta zipzit 30.01.2015 - 13:29
fonte

2 risposte

5

Sembra che ti stia chiedendo:

È possibile decodificare il malware Javascript

Sì. E non è necessario l'accesso al server per farlo. Tuttavia è possibile per l'autore del malware rendere più difficile farlo. Non enumererò qui i potenziali metodi - sono (per lo più) ben descritti altrove. La maggior parte degli attaccanti non si preoccupa di tale sofisticazione, in particolare dove non è un attacco mirato con un significativo valore finanziario.

È possibile identificare dove viene iniettato il codice sul server Sì, ma è necessaria una conoscenza pratica del CMS, competenza nella programmazione e accesso al server (o un'immagine di esso).

La domanda che dovresti porre è qual è la vulnerabilità nel servizio . Hai solo affrontato i sintomi di questo problema, non la causa.

    
risposta data 30.01.2015 - 13:50
fonte
1

Un vettore comune per questo tipo di attacco è modificare il file .htaccess per includere un'istruzione auto append per php. Altrimenti, sospetto che si trovi nel tuo database come sembra attivarsi dopo il caricamento del tuo contenuto.

    
risposta data 30.01.2015 - 13:33
fonte

Leggi altre domande sui tag