Problema virus de la hosting

[zetman]

Am o problema, odata sau de 2 ori pe luna imi apare un iframe pe siteuri, care e raportat ca virus, iar siteurile sunt blocate ca au malware!

- NU am aceeasi parola la toate siteurile la care apare
- se instaleaza doar pe siteurile de pe 1 host (am siteuri pe 3 hosturi, toate fiind in total commander, adica daca am eu un malware in pc si se pune prin total commander de ce nu le infecteaza pe toate ?)
- sunt unele siteuri de pe host care nu sunt infectate
- se instaleaza decat in fisierele : index.php, login.php, main.php, home.php
- scripturile care sunt pe siteuri sunt wordpress, unu de jocuri arcade si unu de anunturi, toate scripturile sunt free (wp) sau cumparate cu licenta, nu am module, pluginuri sau altceva crakuite sau altceva .

Care sa fie problema si cum sa scap de el, din 28-29 iulie apare si tot sterg la el!

PS: daca nu am postat unde trebuie rog un moderator sa il mute ! ms mult

[copilu_cc]

Am o problema, odata sau de 2 ori pe luna imi apare un iframe pe siteuri, care e raportat ca virus, iar siteurile sunt blocate ca au malware!

- NU am aceeasi parola la toate siteurile la care apare
- se instaleaza doar pe siteurile de pe 1 host (am siteuri pe 3 hosturi, toate fiind in total commander, adica daca am eu un malware in pc si se pune prin total commander de ce nu le infecteaza pe toate ?)
- sunt unele siteuri de pe host care nu sunt infectate
- se instaleaza decat in fisierele : index.php, login.php, main.php, home.php
- scripturile care sunt pe siteuri sunt wordpress, unu de jocuri arcade si unu de anunturi, toate scripturile sunt free (wp) sau cumparate cu licenta, nu am module, pluginuri sau altceva crakuite sau altceva .

Care sa fie problema si cum sa scap de el, din 28-29 iulie apare si tot sterg la el!

PS: daca nu am postat unde trebuie rog un moderator sa il mute ! ms mult

In general, aceasta problema apare la scripturile gratuite care sunt virusate intentionat de cei ce le-au creat, sau daca ai anumite fisiere cu permisiune de scriere (777)

[somnulescu]

Stiu ca in ultima perioada, a fost o vulnerabilitate la temele wordpress care foloseau scriptul de redimensionare imagini: timthumb.php. Din cauza unui backdoor din cadrul acestuia, siteul iti putea fi virusat, dupa cum ai zis si tu link injection. Daca asta este cazul, iata ce ar trebui sa faci:

1)Reinstaleaza wordpress, eu am ales sa sterg fisierele direct de pe ftp (wp includes si wp-admin) cat si cele din root. Verifica si .htaccess pentru orice iesit din comun. De asemenea iti recomand sa urci si o varianta noua de wp-config.php. La mine de exemplu nu aparea nimic iesit din comun insa dimenisunile fisierelelor erau diferite. Cel virusat avea vreo 10-11 linii de cod (blank text) in plus.
2)Sterge ce teme nu mai folosesti, vulnerabilitatea asta e valabila chiar daca un plugin sau o tema este inactiva.
3)Fa-ti update la timthumb.php de pe google code

Apoi ar trebui sa-ti mearga. Poate cele doua siteuri despre care vorbesti folosesc timthumb pentru redimensionare imagini si celelalte nu, habar nu am.
Daca pana la urma e vorba de hosting, contacteaza-i sa-si scaneze tot ce au pe acolo.

[avram]

Schimba parola la Cpanel e cel mai bun lucru care poti sa-l faci si apoi verifica fisierele sa nu aibe cod suplimentar adaugat . Am patit si eu sa am calculatorul virusat iar apoi toate site-urile salvate in clientul FTP aveau injectate cod malware in ele . In general in javascript imi adauga ceva cod suplimentar si in index

[Cristian Mezei]

Plus sfatul meu: Nu mai folosi Total commander. Parolele sunt tinute in plain text, adica intr-un fisier unde pot fi citite/folosite de oricine (sunt mii de virusi/malware etc care scaneaza acel fisier pentru parole FTP).

[avram]

La Filezilla e la fel parola salvata plain text .. de atunci nu le mai tin memorate in clientul ftp

[zetman]

Multumesc la toti pentru sfaturile utile care le-am primit !

Plus sfatul meu: Nu mai folosi Total commander. Parolele sunt tinute in plain text, adica intr-un fisier unde pot fi citite/folosite de oricine (sunt mii de virusi/malware etc care scaneaza acel fisier pentru parole FTP).

Ce recomanzi mai securizat ?


am vazut ca fisierele care au chmod 644 nu au fost afectate, doar cele care aveau 777

[Bogdan Calin]

Intre ON si OFF: Eu folosesc CuteFTP si sunt multumit. E si usor de folosit. Ti-l recomand

[Cristian Mezei]

am vazut ca fisierele care au chmod 644 nu au fost afectate, doar cele care aveau 777

Daca ma intrebi pe mine, singurele fisiere din lumea asta care ar trebui sa aiba drepturi 777, sunt fisiere de cache si atat (fara o extensie anume, in general fisiere care contin cod garbage). Este foarte riscant sa ai astfel de drepturi pe orice alt fisier.

Ca si client de FTP, sunt zeci de altele, securizate. Poti folosi : WinSCP sau SFTP.

PS:
An alternative to storing passwords in FileZilla or other FTP clients | Stellar Web Works
Automated attacks since 12/2010 using compromised credentials / chain reaction « 0×13

(Citeste aici ce probabil ai patit si tu).

PS2: Eu m-am invatat minte sa nu salvez deloc parole, in general, decat in browser. Exista si clienti de FTP in browser, si sunt mult mai securizati decat cei desktop.

[gupi]

zetman:
- daca nu ai, cere acces ssh de la gazduitor
- cere ajutor gazduitorului in setarea accesului fara parola (pe baza de chei private/publice)
- eventual, limiteaza accesul SSH de la un singur IP (si eventual un backup), tot cu ajutorul gazduitorului
- instaleaza WinSCP si configureaza-l pentru accesul cu chei publice/private
- transfera fisierele in siguranta

Daca vrei setari paranoice, poti instala VMware Player, apoi definesti o masina virtuala destinata exclusiv transferului de fisiere si instalezi acolo uneltele dorite.