Twitter Delicious Facebook Digg Stumbleupon Favorites More
28. February, 2010.   Tomislav Buza   262 čitanjaView Comments 

WordPress – novi, stari Trojan – JS:Small-C[Trj]

Internet

Jutros me iznenadila poruka antivirusnog programa kad sam pristupao stranici klijenta. Naime, Avast mi je blokirao pristup istoj s porukom da se na stranici nalazi maliciozni kod JS:Small-C[Trj]. Prvo sam mislio da se radi o lažnoj uzbuni.

Uhvatio sam se Googla i krenuo u potragu o čemu se radi. Prvo što sam skužio je da se ne radi o lažnoj uzbuni i da mi je WP stvarno zaražen tim trojanom. sam po sebi ne radi direktno štetu stranici, ali zato otvara prostor za ubacivanje -a koji onda dalje radi kaj god već radi.

Dijagnoza

Na Avastovom forumu sam pronašao već nekoliko slučajeva ovog tipa zaraze sa identičnim trojanom. On naime napada nezaštićeni kod, konkretnije predložak WP i u njega upisuje dio Javascript koda koji onda otvara prolaz drugim „sranjima“. U mom slučaju je bila zaražena Header.php datoteka predloška s JS kodom koji se nalazi na priloženoj slici.

Rješenje

Konkretna stranica je imala stariju inačicu WP platforme. Naime postavljena je bila 2.8.x inačici. Radilo se o mom propustu što je nisam ažurirao na novu 2.9.2 inačicu koja ima zaštitu od ubacivanja te vrste malicioznog koda. Prvo što sam napravio je ručni upgrade na 2.9.2 inačicu, znači preuzimanje sa WordPress.org stranica i ručno, FTP-om, uploadanje na site.

Slijedeći korak je bio otvaranje Header.php datoteke (moguće i ugrađenim editorom WP administracije) te brisanje koda u datoteci. To je naime, riješilo stvar. Sreća u nesreći je bila što se taj napad desio negdje noćas ili jutros pa je problem otkriven na vrijeme, jer da je došlo do otvaranja prolaza -u vjerojatno bi slijedila i blokada stranica od strane Googla. Što baš nije zgodno.

Na slijedećem linku se nalaze osnovne upute oko čišćenja tih tipova malicioznih kodova sa web stranica: http://www.stopbadware.org/home/security

Rezime

Sve svoje WP stranice držim ažurnima, to znači da čim izađe nova inačica platforme istog trenutka je ažuriram. Ista situacija je i sa dodacima (pluginima).
Desio se jedan propust gdje je WP ostao na nešto starijom inačici i već je bio žrtva napada. Isto tako preporučam postavljanje sigurnosnog plugina kojeg možete preuzeti na adresi Semperfiwebdesign.com.

Similar Posts:


Tagovi: , , ,

Trackback link za ovaj post.
  • Problem sam uspio riješiti uz pomoć Plus.hr supporta. U pitanju je bio base64 attack. U wp-config.php datoteci je u prvom redu nakon otvorenog taga <?php bila dodana skripta enkodirana u base64 formatu.
    Bila je skrivena tako da je kod bio pomaknut u desnu stranu da ne bude vidljiv ako se editira uz pomoć pico editora. Nakon što sam maknuo problem je riješen.
  • Meni google javlja da mi je wordpress zaražen s JS:FakeAV-DX[Trj]. Gledao sam kod stranice ali nigdje ne vidim problem. Jedino ako etarget reklama ne radi problema.
  • Odlichna analiza!
  • Imao sam jednu WP instalaciju u 2.2, nisam je ažurirao zbog dosta custom promjena. Nije bila napadnuta, a site je posjećeniji od ovog koji je napadnut. Ma, najbolje je držati sve na zadnjim verzijama i ziher si.
  • uf... hvala kaj si reko. Inače ne pazim previše na updateove. jednom sam čak odgirao na 0.2 verzije ispod aktualne :/

    sad sam imao 2.9.1 al za svaki slučaj stavio sam 2.9.2 :)
blog comments powered by Disqus
RSS FeedPretplati se na RSS kanal!
Prati me na Twitteru!Prati me na Twitteru!
Powered by WordPress | Find BlackBerry Phones for Sale Online. | Thanks to Top Bank CD Rates, Free MMORPG Games and Home Information Packs

Switch to our mobile site