Масова инжекция на код във всички файлове

Firefly

Well-Known Member
Нещо се е случило наскоро със сайтовете ми - работят си, но забелязах, че в началото на всеки файл е инжектиран код като този: http://prntscr.com/5yxp21
Това е на всичките ми wp сайтове. Някакви идеи как може да се изчисти по-лесно?
 
От: Масова инжекция на код във всички файлове

Пускаш скрипт който да търси и да трие този код, след което си ъпдейтваш сайта, сменяш пароли на хостинг акаунт, фтп, и всякакви потребители
 
От: Масова инжекция на код във всички файлове

Аз бих препоръчал и да се погрижиш за FTP-то. Моя сайт не е кой знае колко посещаван, и въпреки това ежедневно има опити за нахлуване през FTP от най-различни IP адреси. Пробват с имена като Administrator или името на сайта, абе всякакви. Явно има бизнес и в тая работа. Накрая смених порта на FTP, така че сега за любопитните излиза, че порт 21 ми е затворен.
 
От: Масова инжекция на код във всички файлове

В случай, че на някой друг му се наложи, успях да се оправя с плъгина Anti-Malware and Brute-Force Security by ELI. Единствен той успя да хване всички засегнати файлове и да ги поправи (макар че безплатната версия поправя само по 20-30 файла на порция). Остава да стискам палци да не се оплескат пак.
 
От: Масова инжекция на код във всички файлове

Случайно да ползваш FileZilla?
 
От: Масова инжекция на код във всички файлове

Оттам са ти взели паролите. Изтрий тая тъпа програма и ползвай нещо по-сигурно като WinSCP.
 
От: Масова инжекция на код във всички файлове

Оттам са ти взели паролите. Изтрий тая тъпа програма и ползвай нещо по-сигурно като WinSCP.

Едва ли някой ми е взел паролите - ако беше, мисля си, че щеше да направи поразии. Това прилича на автоматична инжекция през някоя дупка от тема или плъгин. За всеки случай сменям и паролите. Ще разгледам и WinSCP щом го препоръчваш.
 
От: Масова инжекция на код във всички файлове

Да, автоматично е инжектиран кодът, след като са ти източили FTP паролите от FileZilla и са ги използвали. Ако продължиш да ползваш FileZilla вероятно след време пак ще се случи същото.
 
От: Масова инжекция на код във всички файлове

winscp е в пъти по-бавен от филезилата и съм го отписал. Други алтернативи?
 
От: Масова инжекция на код във всички файлове

Виж лога и разбери точно как е станало, тогава прави каквото и да е
 
От: Масова инжекция на код във всички файлове

Да, автоматично е инжектиран кодът, след като са ти източили FTP паролите от FileZilla и са ги използвали. Ако продължиш да ползваш FileZilla вероятно след време пак ще се случи същото.
Това пък от къде ти дойде на ум? Краденето на пароли не се прави през FTP-клиент, освен, ако не ползваш нещо супер неизвестно.
 
От: Масова инжекция на код във всички файлове

Напротив, точно потребителите на най-известния FTP клиент FileZilla стават най-често жертви на крадене на пароли. FileZilla съхранява паролите в чист текстов вид, без никаква защита. Затова много от сайтовете, съдържащи заразен код са фокусирани именно към източване на пароли по този начин. Ако операционната система не е с последните ъпдейти или има някаква друга слабост в сигурността дори не е нужно да инсталираш или свалиш вируса, за да се заразиш. Достатъчно е само да отвориш сайта и FTP паролите изтичат автоматично към пощата на хакера. После той пуска едно скриптче и автоматично инжектира зловреден код във всички файлове, до които има достъп чрез твоите пароли. Разбира се има и много други начини за крадене на пароли, но този е най-популярен.
 
От: Масова инжекция на код във всички файлове

Test, горещо се извинявам за незнанието си! Прав си, по дяволите!!!! Проверих и наистина е така. А чат-пат го ползвам тоя клиент. Ще помисля за алтернатива.
Благодаря ти за инфото! Ще имам да те черпя!
 
От: Масова инжекция на код във всички файлове

В случая имам вкарани много акаунти в програмата, но беше засегнат само един. Тоест, ако са изтекли паролите през filezilla, предполагам щяха да изтекат всички.
 
От: Масова инжекция на код във всички файлове

ако са изтекли паролите през filezilla, предполагам щяха да изтекат всички.
Най-добре послушай съвета на website и прегледай логовете. Ако не всичките, то поне FTP лога. Ако кодът е инжектиран през FTP веднага ще си покаже. Но и да не е, пак е добра идея да смениш FileZilla с нещо друго.
 
От: Масова инжекция на код във всички файлове

Из Google на доста места се говори за някакъв плъгин MailPoet: http://blog.sucuri.net/2014/10/word...hacked-via-mailpoet-plugin-vulnerability.html

Ха, точно това е май. От сравнително скоро го сложих на единия си сайт този плъгин. Жалко, защото си ми харесваше плъгина за автомагичен нюслетър. От друга страна пък винаги съм ползвал само най-новата версия, в която не би трябвало да има проблем.
 
От: Масова инжекция на код във всички файлове

Напротив, точно потребителите на най-известния FTP клиент FileZilla стават най-често жертви на крадене на пароли. FileZilla съхранява паролите в чист текстов вид, без никаква защита. Затова много от сайтовете, съдържащи заразен код са фокусирани именно към източване на пароли по този начин. Ако операционната система не е с последните ъпдейти или има някаква друга слабост в сигурността дори не е нужно да инсталираш или свалиш вируса, за да се заразиш. Достатъчно е само да отвориш сайта и FTP паролите изтичат автоматично към пощата на хакера. После той пуска едно скриптче и автоматично инжектира зловреден код във всички файлове, до които има достъп чрез твоите пароли. Разбира се има и много други начини за крадене на пароли, но този е най-популярен.

Напълно съм съгласен с мнението на "Test", изпитах проблема на "Firefly" преди повече от година. Във всеки един сайт който присъстваше във Filezilla бяха инжектирали някакви поляци точно такъм скрипт. Бяха ми заразили едновеременно над 30 сайта. Сайтовете се отваряха, но антивирусната пищеше, че има вирус и като кликнех на сайта препращаше на различни адреси. Наложи се да свалям всичко, да ги минавам през антивирусна и да ги качвам пак. Оправий се, но ме боля глава дълго време. Според мен Filezilla колкото и да е лесна и интуитивна за употреба си има дупка.
 

Горе