Nime vec nekoliko puta sam dobio obavijest od hosting provajdera da imam neki virus na sajtu. Kako saznati koji plugin tema ili stogod ima rupu. Kako sanirati da se vise ne ponavlja?
Hvala unaprijed.
Da ne koristis nulled teme, ili Pluginove ?
Ne koristim. Imam placenu temu i pluginove sa wp repozitorija.
vjerojatno nisi na vrijeme azurirao.
Pocistiti inficirani site je problem i jako skup posao. Ako ides radit sam nesto ces garant zeznuti ako nisi upoznat s problematikom, a i potrosit ces dan dva a mozda i cijeli tjedan.
A vrlo vjerojatno neces sve backdorove pocisitti pa ce se virus za mjesec dva ponovno aktivirati, ovisi kako ga je programer sprogramirao.
Sanacija nije opcija, opcija je prevencija, promjena hostinga, redovito azuriranje pluginova i tema, cloudflare i tako…
Nisam baš upoznat s ovim tipovima virusa, pa ako moze malo o tome.
Pretpostavljam da se u nekoj skripti ugnjezdi zlocudni code…koji onda praktički radi sto zeli…i siri se i po drugim skriptama itd.
No dali je moguće da na hostingu se code prosiri sa jednog accounta na drugi, ili je tako nesto 100% zasticeno od strane hosta?
Koji onda načini postoje da se projekt prvi puta zarazi nekim codom? Upload zaražene skripte je očito način, a pored toga?
No dali je moguće da na hostingu se code prosiri sa jednog accounta na drugi, ili je tako nesto 100% zasticeno od strane hosta?
Da, host bi trebao biti zasticen, no neki host servisi su losi, pa nisu.
Koji onda načini postoje da se projekt prvi puta zarazi nekim codom? Upload zaražene skripte je očito način, a pored toga?
Upload zarazene, nulled scripte, neupdejtani pluginovi koji omogucavaju hackerima upad na stranicu.
Uglavnom oni ulete unutra i to se radi 100% automatski, dolete an tvoj site, pogledaju dali je plugin out of date, ako je onda naprave svoje, ako nije idu dalje trazit.
Znaci ako je onda se ubace kroz taj plugin na site ili databasu i onda prakticki rade sto zele. Uglavnom prave nove fielve koje ubace u neke foldere da su skriveni, edititraju vec poznate fileove pa ubace svoj code. I naravno inficiraju databasu, onaj koji ne inficira databasu je slab virus.
P.S. ovo vrijedi za public CMSe, joomla, WP i druge opce poznate, sa custom rjesenjem vas nitko nece hakirat jer hackere ne zanima vas site, njih zanima masa steva, ne pojedini.
Jasno mi je to. No svjedno je dobro biti upoznat s tehničkom stranom sigurnosnih propusta, te ne ostavljati takve rupe za sobom.
Upload zarazene skrpte je jasan. Maliciozni code je stigao tako reći “pozvan” kroz ulazna vrata.
No “neupdajtan plugin” ne govori ništa o karakteristici tehničkog propusta?
Što taj plugin ostavlja hakerima, da uđu kroz njega?
Ako plugin mora biti specifičan, gdje hakeri dobro poznaju što on radi u pozadini…te ajmo reći plugin doslovice za njih inserta negdje maliciozni code, ako oni znaju da ga na taj način iskoriste… …onda je pitanje nebitno. U suprotnom, kakav to mora biti propust u pluginu da bude ulaz hakerima??
Što bi značilo inficirana baza? Kakav to podatak mora biti zapisan u bazu podataka da može raditi dar-mar po projektu?
Dali ta informacija zapisana u bazi mora biti kompatibilna s nekim pluginovima da bi njihov spoj rezultirao malicioznim ponašanjem…ili postoji nešto univerzalno što zapisano u bazi postaje virus? Što bi to bilo? Ne mogu si nikako predočiti?
Ja sam imao isti problem jer nisam redovno ažurirao na hostingu koji nema zaštitu. Riješenje - prebacio sve na hawkhost i rekao im da scaniraju i pobrišu sve fajlove sa time da mi jave koje fajlove su pobrisali tako da ja mogu da ubacim nove.
Nnije propust u pluginu. Niti je sam propust u wordpressu. Na internetu nista nije sigurno i ako ima volje i znanja svaki site/plugin/cms se moze probiti.
Tak da ja ne govorim oi propustu nego jednostavno su hackeri pronasli nacin kako taj code/scriptu iskoristiti za ulazak na server. Jednom kad dodje na server game is over. On moze raditi sto zeli, obrisati cijeli site, inficirati druge fileove i databasu. Sto vecinom i rade jer oni to nerade da se hvale nego rade da se zaradi, pa onda isoristavaju sever za kradju traffica, ddos, promoviranje svojih proizvoda, manipulaciju trazilicama…
A u bazu podataka se ubaci query koji funkcionira u skladu sa onim inficiranim codom koji je ubacen u php fileove.
To obicno funkcionira tako da je ukljucen i cron, pa ako cron provjerava dali su fileovi obrisani, ako jesu onda se starta code u bazi podataka koji opet resotra ili ponovno pokrece ili pravi fileove. Ako se obrise baza ali neki od coda nije obrisan isto funkcionira. Zato i je tesko obrisat jer doslovno moras preceskat sve fileove. Postoje trikovi kako to uraditi na brzinu.
P.S. zato wordpress i ozbiljni pluginovi prate i prave svakodnevne updejte.
Sutra mjenjam hosting a onda cemo vidjet. Do sad sam uvjek redovito azurirao al cu napravit clean install.
a tko ce databasu scenirat? I obrisat?
To automatsko skeniranje je samo plus da se lakse pronadju inficirani codovi. Ali ako je vas site zarazen i ne pocisti se do kraja onda ce on degradirat s vremenom. Naravno oept ovisi o kojem se maliciousnom codu radi.
Ja sam lično prošao kroz database i na svu sreću nije bilo ništa. Uglavnom bilo je milion nekih fajlova ubačenih u plugine, nije mi se dalo ručno brisati tako da sam prebacio sajt na hawkhost da oni to pobrišu, nisam morao ništa reuploadati :).
Prednost zaštićenih jeste taj što sada ne moram redovno ažurirati jer svaki pokušaj promjene na hostingu dobijem mailom, a i oni automatski scaniraju svaki uploadani fajl, tako da sam prezadovoljan njihovom uslugom i podrškom.
Najbitnije je što me google prestao zezati sa malicious website blockom.
A dali znaš u čemu je propust?
Bez obzira što se sve može probiti, popis sigurnosnih kritičnih točaka ipak nije tako velik. Možda i je beskonačan, ali svakako nisu sve te stavke beskonačnosti još otkrivene, pa se trenutno mogu sažeti u manje od deset natuknica (vrsta).
Da li ove propuste s pluginovima možemo okarakterizirati sa jednom/nekoliko od tih web slabosti, ili tvrdiš da ti hakeri svakodnevno otkrivaju najnovije web napade. (Što je nerealno, jer da se mogu baš tako otkrivati čudesa od strane hakera…web bi bio puno nestabilnije mjesto…)
Znači pitanje je, kako konkretno opisati upad hakera u web projekt.
Ono što smo dosad ustvrdili:
-korisnik uploada maliciozni code
-maliciozni code se proširi nezaštićenim hostingom sa projekta na projekt
… i sada treba nadopisati ovu listu, kako još maliciozni code uspije upasti i ugnjezditi se u nekom file-u?
Reći da je upao kroz neupdejtan plugin ne govori ništa o karakteristici napada, samo o povoljnoj okolini gdje se napad izvršava.
Treba konkretno iznesti dali je to SQL injection tip napada, XSS …ili kojom već kombinacijom metoda hakeri uspijevaju doći do točke da mijenjaju skripte na hostingu i ostavljaju tako maliciozni code.
Meni zvuči da za tako nešto, sam plugin mora imati karakteristiku mijenjanja PHP fileova, što hakeri onda iskoriste poznavajući što i kako radi plugin, te pronalaze sigurnosni propust da malo preusmjere ponašanje toga plugina koji će onda krojiti PHP skripte za njih. No ako plugin u startu ništa ne radi sa file-ovima, teško mi je i predočiti na koji način ga iskoriste. Ali takav napad bi onda morao imati svoju specifičnu karakteristiku i naziv…gdje znači haker dobiva pristup mijenjanju PHP fileova, a da ga neki direktni propust nije svojevoljno poslužio da mijenja file-ove za njega.
Slažemo se i da maliciozni code se bazira na tome da nastane fizička promjena skripti na projektu. Što ga u startu razlikuje od svih sigurnosnih propusta o kojima sam nešto pročitao. A rupa hakeru da kopa i mijenja skripte nije mogla nastati samo tako…
Nisam programer niti znam sta o php codeu previse. Ali sama funkcija plugina je da mjenja php code na vec postojecim wordpress php codovima.
Kad ti kliknes install plugin ce mjenjati postojeci wordpress vise ili manje ovisi o pluginu.
Sto se tice wordpressa web i je nestabilan. Svaki tjedan imamo ovdje ejdan topic da je nekome wordpress hakiran. To je zato sto se ti hackeri daju truda, za svaku verziju wordpressa za svaki plugin koji se koristi masovno. I onda kad nadju propust posalju spidere i oni odrade posao na miljunima stranica. Vrlo vjerojatno tu i veliku ako ne i ogromnu ulogu igra i sama zastita servera.
Ima VPS prije par godina.
Prvi koji sam platio, gore desetak stranica.
Jednu je radio jedan površan lik, i gore je bio rev slider, a tema nulled.
Uglavnom rezultat:
- svi računi su imali extra raznih .php i .html fajlova. Na različitm mjestima
- sve wordpres instalacije nisu više reagirale a moj username niti password, svi su imali novog korisnika direktno u bazu zapisanog.
Ne znam što je bilo, ali činjenica da je krenulo sa rev slider modula, jer je naime bila skripta u nekoliko podfoldera, koja, jednostavno tko je spakirao, upisao je URL, ne zna da li u tražiicu pa da nađe ili što tko ima nejgovu temu, nakon unosa potpuno urla sa domenom, i klikneš kreni, enter što god, stvar se raspakirala, a dalje je jednostavno pretpostavljam.
Stvar je što nisam vidio ništa danima, dok nije tisuće mailova otišlo.
Nulled teme, banana, ako netko hoće neka onda uračuna u cijenu klijentu za originalnu verziju, ažuriranu. Ako ne moguće da će imati problema.
Ja također nisam radio s wordpressom, ali pretpostavio sam da plugin mijenja code. S time da sam smatrao da u nekim slučajevima ne mora mijenjati code, nego služi samo kao exstenzija postojećem codeu.
No dodje nebitno…recimo da uvijek mijenja.
Ti sada instaliraš neki plugin, i ako je taj plugin već inficiran zloćudnim ponašanjem…sasvim je jasno da smo sami na velika vrata pustili virus u projekt. …jer će tokom instalacije napraviti što želi.
No ako plugin nije inficiran, sasvim je nebitno što instalacija mijenja postojeći code. Jer hakeri u tom slučaju moraju naknadno upasti nakon instalacije (drugim riječima, očekivane modifikacije skripti su već završene). Tako da za taj slučaj pitanje ostaje sasvim nepromjenjeno…o vrstama propusta koje ostavljaju neažurirani pluginovi.
Tu ja opet pretpostavljam da sama srž plugina je takva da čačka po codeu tokom rada. (ne samo kod instalacije) …te da takvo ponašanje plugina je povoljno područje hakerima da utječu na plugin i da pomoću njega unesu zarazu. Opet naravno, plugin mora imati veliki propust da dopusti da treća strana nametne što će on krojiti po codeu.
No ako plugin ništa ne kroji po codeu tokom rada, a haker nametne vlastitu volju pluginu da isti počme krojiti po codeu …i da tako unese virus. To mi je eto neshvatljivo kako bi bilo moguće…sve da su se kreatori plugina još potrudili ostaviti sigurnosne propuste koji su najčešći…
Ali na nulled temama, bilo koji oblik malicioznog koda je ne moguć nego vjerovatan, zar ne?
Tamo se ipak može staviti kakvo god smeće hoće.
I sad lik nađe temu, je, super, instalira na server, možda neki slabije zaštićen, i kod onog koji je muljao sa nulled temom je na nečijem serveru.
Sada samo treba povratnu infromaciju gdje se nalazi instalacija, i to je to. Zar ne? Ili griješim?
Znači, napisao sam da je sasvim jasan taj slučaj kada koristimo nulled temu, ili ti ga “zarazenu skriptu”.
Pitanje je gdje su vrata hakerima (tj. kojeg tipa su vrata) kad koristimo NE-nulled temu, znači urednu, hakeri joj nisu prismrdili ni izdaleka. …i sad upadnu zato jer nije updejtana. To što je neupdejtana, ne govori ništa o sigurnosnim problemima koji su zaglavili unutra.
http://www.wordpressexploit.com/
ima jos masa tih stranica, vidis da se dobro debelo radi na tome svaki dan.
Vjerujem da da…al ja ostajem pri tehničkoj strani svog pitanja, kojeg mogu čak skroz izolirati od wordpress teme, a pitanje bi bilo za znalce PHP-a, pa ako netko zna:
Koji su sve načini, da nam netko neželjeno počne mijenjati code po našim php skriptama.
Opcije koje su očigledne ćemo izbaciti, a to su:
-host nam s namjerom prčka po skriptama
-host ima lošu zaštitu, pa se virus sa drugih projekata proširi na naše skripte
-nesvjesno uploadamo već zaraženi sadržaj
A sada, da vidimo koji bi bili dodatni ulazi hakerima:
OPCIJA 1:
Neka naša skripta radi s fileovima (uređuje fileove), a ono što uređuje (target skripte) ili ono s čime uređuje (sadržaj kojim puni target skripte) …ovisi o varijablama koje joj prosljeđujemo. Haker upada u protokol te informacije, te šalje svoju informaciju ka našoj skripti koja uređuje fileove…koja će onda obaviti posao onako kako joj je haker diriktirao prosljeđenom informacijom (opet u granicama koje je mogao diriktirati, koje ovise o izvornom code skripte koja radi sa fileovima).
OPCIJA 2:
Negdje koristimo eval() funkciju kojoj prosljeđujemo informaciju, koja kroz eval funkciju postaje izvršni code. Haker opet upada u protokol informacije, te po želji radi sa našom eval funkcijom što poželi. Tu smo grdo nadrapali…
Eto, to su zasad jedina dva načina koja ja vidim da mogu biti propust, kako bi netko izvana dobio pristup da petlja po uređivanju našeg codea. Ako ima još neka veza između vanjske strane i utjecaja na source code projetka, volio bi čuti…