Sto lavorando su un sito Web di clienti e mi rendo conto che sono stati compromessi. All'inizio di oggi c'era un grosso problema con un problema di php eval(base64_decode
. Questo è stato ripulito tramite Andy Stratton clean.php repair (che cerca i file infetti e poi li elimina). Il sito web è stato ricostruito con il verbo Wordpress code e un tema fidato. 12 ore dopo vedo molti reindirizzamenti indesiderati. I reindirizzamenti stanno andando in un luogo strano all'estero da qualche parte. In effetti, i reindirizzamenti potrebbero non essere il termine corretto. Riesco a vedere tutti i contenuti dei siti originali che vengono caricati negli strumenti di sviluppo e, alla fine del caricamento, acquisisce un'immagine e un lettore musicale e incolla una semplice pagina html. L'immagine è http://i.hizliresim.com/g4rXl2.png
L'URL visualizzato è l'originale selezionato sul sito.
Comefacciosolounpo'ditest,trovocheilproblemasembraesserecorrelatoaJavaScript.SespengoilJS,nessunreindirizzamento.Eccolemiedomande:PossoutilizzareglistrumentiJSinChromeperidentificarequalefileèilpiùsospetto?(pausasulleeccezioni,ecc.)EsisteunmodoperscansionaretuttiifilepercercareilcodiceJSmalvagio?Hoprovatoglistrumenticomuni&luoghidarecensire,senzarisultati.Sicuramentenonèunproblema.htaccess.
SonomoltocuriosodipoterpassareattraversoilcodiceJavaScriptinChromeevederedovevannolecose.SospettochelasoluzioneperquestosiapulireilVPSereinstallarlo,manelfrattemposonocurioso.Possorilevaredovesitrovailcodicedelmale?
Enota,nonhoaccessocompletoalserver.HosolocPaneleampli;AccessoFTPInoltre,ilsitovieneoffertotramiteCloudFlare.Moltegrazieperiltuoaiuto.
Aggiornamento:abbiamoscopertodovesitrovavailcodiceerrante...EraneldatabasemySQLinunacellanormalmenteriservataalcontenutodelwidget.Ilcodiceeraabbastanzagrande,1530lineedigobbledygook.Alcuneparoleinchiaro,altreincodicecriptico.Èstrongmenteoffuscatoconcodicecon:e;elementi.Apparentementequestoclienteèstatocolpitoinprecedenza,illoroattualewebmanvuolelanciarecerottisulsito.Pensodiaverconvintoilproprietariodell'aziendaametterelasuaattivitàaltrove,emetterealsicurotutto.
Unadomanda.Poichéildatabaseècompromesso,esisteunmodosicuroperclonareilsitosuunnuovoserver?ImmaginodipotercercarenelDBmodellifamiliaribasatisuquestobloccodicodice,mainrealtànonèrobusto.SochepossocreareunbackupXMLdelcontenutodalpannellodicontrollodell'amministratore->Esportare.IlformatoèinrealtàchiamatoWordPresseXtendedRSSoWXReconterràpost,pagine,commenti,campipersonalizzati,categorieetag.Possorivederequellevocivisivamente,pervedereselecosehannounsenso.
QualchealtraideasullaclonazionediunsitoconalmenounvirusnelDB??
Inoltre,esisteunrepositorypergliutentilegittimicheinseguonoivirus"per inviare questo esempio di recente attività JavaScript? Ovviamente non lo posterò qui, per evitare di dare agli altri la possibilità di crearne altri. per esempio. devo inviare il codice a gente come sucuri.net o da qualche altra parte?