Atak na stronę…

By | 14 stycznia 2012

Już od jakiegoś czasu na mojej stronie działy się złe rzeczy, było to związane z moim brakiem czasu i chęci żeby jakoś powiązać pisanie artykułów i studiowanie, jednak przyszedł moment (sesja), że nawet usuwanie problemów ze strony jest czymś dużo ciekawszym.

Chciałbym się podzielić z Wami problemem jaki napotkałem na mojej stronie, który jest związany z dodaniem do kodu js wpisu który może nie był niebezpieczny dla mnie, ponieważ nie mógł doprowadzić do przejęcia strony, ale mógł doprowadzić do infekcji komputerów osób pojawiających się na mojej stronie.1. Analiza problemu

Kaspersky podczas przeglądania strony zaczynał sypać powiadomieniami o zainfekowanej stronie i o tym że blokuje niebezpieczne działania.

2. Usunięcie problemu

Najłatwiej sprawdzić stronę pod kątem wirusów jakimś zewnętrznym programem/skanerem, więc udałem się na stronę:

http://sitecheck.sucuri.net/scanner/

Która to wyświetliła taki komunikat:

Możemy zauważyć że podana jest ścieżka do zainfekowanego pliku

Który to poprowadził mnie do pliku: „traction.js” w którym znajdował się niebezpieczny wpis:

var _0x4470=[„\x39\x3D\x31\x2E\x64\x28\x27\x35\x27\x29\x3B\x62… i tak dalej

na dole screena znajduję się niepokojący ciąg znaków

Po usunięciu kodu i zapisaniu pliku strona zaczyna działać poprawnie, a skaner nie znajduję niczego niepokojącego:

Skan po akcji usuwania problemu

3. Dodatkowe działania

U mnie prawdopodobnie zawiniła jedna z wtyczek, która otworzyła drzwi dla bota, który automatycznie dodał szkodliwy kawałek kodu. Może być tak, że po takim ataku wyciekną hasła do bloga, bazy danych, czy nawet hostingu, więc aby dodatkowo się zabezpieczyć warto zmienić wszystkie hasła.

One thought on “Atak na stronę…

  1. bpit2

    okazało się że znajdował się również backdoor na stronie praktycznie w każdym pliku, więc musiałem od nowa postawić całego wordpressa. Strona wygląda już ok, ale wiem że jest jeszcze parę mankamentów, które z pewnością poprawie

    Reply

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *