[Fredrik-s]

Hej,

Jag hjälper en förening som har fått Malware på deras WordPress-sida. Själv har jag aldrig fått en WordPress-sida hackad/utsatt för Malware, så detta området är lite nytt för mig. Därför skulle jag behöva lite hjälp.

Följande faktorer kan vara bara att kännas till som bakgrund och vad jag hittills gjort:
1. Identifierat vilka filer som det finns skadlig kod i, i form av Javascript, med följande verktyg: http://sitecheck.sucuri.net/scanner/

2. Verktyget har identifierat att följande filer är infekterade:
- http://xxxxxx.se/wp-includes/js/jque...y.js?ver=1.6.1
- http://xxxxxx.se/wp-content/themes/x...ter.js?ver=1.0
- http://xxxxxx.se/wp-content/plugins/...l.js?ver=3.2.1

3. Den skadliga koden är följande: http://pastebin.com/a37d2AHD

4. Plugin som används och inte är uppdaterade till senaste versionen (om än dock överlag näst senaste versionen) är:
- Autochimp
- bbPress
- BuddyPress Template Pack
- Members List
- Surveys
- Welcome Pack
- Wordpress Download Monitor

5. WordPress-versionen är följande: WordPress 3.2.1.

Mina tankar.
1. Min första tanke är att det är något säkerhetshåll i någon av pluginen som har utnyttjats för att implementera den skadliga koden.

2.En andra tanke är att någon fått sin dator infekterad som har FTP-uppgifter och sedan när denne anslutit har dessa blivit kapade och "förövaren" har då fått tillgång till dessa och sedan kunnat implementera den skadligakoden.

Det jag tänker nu - för att åtgärda detta - är att givetvis plocka bort all skadlig javascriptkod i respektive fil. Sedan uppdatera Wordpress samt befintliga plugin. Men min fråga är helt enkelt räcker detta för att det inte åter ska komma in Malwares? Eller finns det något utöver detta som jag bör tänka på. Föreningen har även sagt att det "försvinner inlägg". Bra att känna till är att det finns många användare registrerade på föreningenssida, men de har bara behörigheten "Medlem" och bör inte på något sätt kunna komma åt systemet ytterligare. Eller finns det någon sida eller någon som känner till fall ovanstående plugin har dragits med problem av Malwares? Har försökt Googla på respektive men inte hittat något om detta.

Tackar för all hjälp jag kan få.
/Fredrik

[blomkruka]

Vilket tema använder du?
Finns flera teman som är drabbade då de har använt sig utav TimThumb.

[gsoc]

Kör först:
http://nevyan.blogspot.com/2011/10/t...t-cleaner.html

Sen:
http://www.rfxn.com/projects/linux-malware-detect/

[zyko]

Ett annat alternativ skulle kunna vara det faktum att buddypress använder sig av qtip, som tydligen blev attackerat förra veckan. Om buddypress uppdaterades nyligen och skrev över aktuell version av jquery etc skulle det kunna vara boven. Koden du länkar till liknar inget av det som jag sett injectats tidigare genom timthumb.

läs mer på http://dan.cx/blog/2011/11/pulling-apart-wordpress-hack samt https://github.com/Craga89/qTip2/issues/286

[Fredrik-s]

Tack för alla svaren!

De kör ett egetutvecklat tema. Vet dock inte om det bygger på ett specifikt tema i grunden, troligtvis.

Tack för länkarna gsoc och zyko, ska grotta ner mig lite i dem. Ska även kolla upp vilket tema de kör, de har iaf plockat ner sidan. Den ligger hostad på Binero, så det bör inte vara några problem att det kommit in den vägen, utan snarare i koden någonstans.

[foks]

Kolla när filerna ändrades och kolla sedan i accessloggarna om det finns någon request som matchar den tiden. Har intrånget gjorts via säkerhetshål i script lade hackern garanterat upp något shellscript som användes för att infektera filerna, och som ligger kvar på kontot.

Hittar du inte något för den tiden är det antagligen FTP-uppgifterna som blivit kapade, då kan webbhotellet bekräfta det (om du inte själv har tillgång till FTP-loggar).

[Slacker]

Jag såg att Sucuri erbjuder skydd och rensning av malware på en sajt för 90 USD per år. Har någon erfarenheter av denna tjänst?
http://sitecheck.sucuri.net/scanner/

[Slacker]

Jag har också hittat ett verktyg, som heter iScanner:

iScanner is a free open source tool lets you detect and remove malicious codes and web page malwares from your website easily and automatically. iScanner will not only show you the infected files in your server but it's also able to clean these files by removing the malware code ONLY from the infected files.

http://iscanner.isecur1ty.org/

Jag har installerat den på min Linuxpartition och jag kan scanna t.ex en mirror av min sajt. I prinicip borde den gå att använda på en lokal mirror av sajten. Efter man desinficerat med iScanner kör man lftp och kommandot mirror -Rv så uppdateras de desinficerade filerna.

[Internet Sweden]

@Fredrik-S min blogg blev smittad för ett par månader sedan och jag rensade och rensade men eländet kom tillbaka.

Koden du anger är MYCKET snarlik det som jag drabbades av och i mitt fall handlade det om timthumb-exploiten http://wp.nu/bcHt som drabbade många plugins som i sin tur använde timthumb för bildvisning.

Jag anlitade till slut SUCURI som rensade bort allt på ett par timmar (det visade sig ha både smittat flera andra domäners kataloger och skapat 5-6 bakdörrar (vilket förklarade mitt problem att rensa ut allt)

Numera monitorerar SUCURI sidan https://monitor3.sucuri.net/verify.p...2c7bc22893af0d
Jag får även notify var 6:e timme på eventuella förändringar av innehållet.

Jag kan även ställa in en hel del i deras kontrollpanel rörande vad dom ska monitorera och hur och var jag vill ha notifieringar; sms, mail osv.

Jag kan bara summera det hela med att de 90 dollarna var mycket väl investerade pengar för min del..

[Fredrik-s]

Tack för alla svar! Har framfört lite åsikter till föreningen baserat på det ni skrivit.