Κατασκευή ιστοσελίδων Κατασκευή ιστοσελίδων
Κατασκευάζουμε ιστοσελίδες. Όχι από αυτές που κυκλοφορούν , αλλά από τις άλλες τις καλές ......
More detail
Διαφήμιση Google Adwords Διαφήμιση Google Adwords
Την φτιάξατε την ιστοσελίδα. Αρκεί να μπαίνετε μόνο εσείς ; Πως θα την δουν οι υπόλοιποι; ...
More detail
Φιλοξενία ιστοσελίδων Φιλοξενία ιστοσελίδων
Υπερσύχρονοι servers , σε Ευρωπαϊκά και Ελληνικά datacenters με 99.95% uptime και κα...
More detail

Cryptophp : χρησιμοποιείτε σπασμένα theme και Plugin; Ξανά σκεφτείτε το...

crypto php

Πρίν λίγες μέρες και συγκεκριμένα 18 Νoεμβρίου , η εταιρεία fox-it που ασχολείτε με την ασφάλεια στο διαδίκτυο ανακόινωσε μια άκρως ενδιαφέρουσα μελέτη 50 σελίδων για τα σπασμένα Theme και plugin σε Joomla , Wordpress , Drupal.

Συγκεκριμένα , όσοι κατεβάζανε πειρατικά theme - plugins από συγκεκριμένες ιδιαίτερα διαδεδομένες σελίδες , κατέβαζαν μαζί και ένα ιδαίτερα καλογραμμένο κακόβουλο κώδικα που κρυβόταν μέσα σε φωτογραφίες.  Ο κώδικας αυτός δύσκολα ανιχνεύεται γιατί ακριβώς επειδή είναι μέσα σε φωτογραφία , πολλά antivirus αγνοούσαν την σάρωση του.  Η εγκαταστάση λοιπόn αυτού του theme - plugin μετέτρεπε την σελίδα σας σε bot σε ένα τεράστιο δίκτυο bots. Αν και η μελέτη αναφέρει οτι χρησιμοποιήθηκαν κυρίως για black hat seo , ο  δυνατότητες του είναι για πολλά παραπάνω ...

Πως ακριβώς λειτουργεί :

Σε κάποιο αρχείο μέσα στο σπασμένο theme - plugin , θα δείτε τον εξής ή παρόμοιο κώδικα:

<?php include('images/social.png'); ?>

Για κάποιον που καταλαβαίνει php θα δεί το παράξενο: Καλεί ένα αρχείο .png ! Με μία ματιά σε αυτό το αρχείο θα δείτε ότι δεν είναι εικόνα αλλά κώδικας php !

Τι πρόβλημα δημιουργεί :

Καταρχήν η σελίδα  έχει τρύπα και απομακρυσμένα ενδεχόμενος να μπορούν να κάνουν ότι θέλουν . Από black hat seo έως dos attack! Και ότι συνεπάγεται αυτό...

Επίσης από προχθές η spamhaus σκανάρει servers και αν δει ότι υπάρχουν τέτοιες σελίδες βάζει σε black list την ip του server. Κοινώς αντίο email προς τα περισσότερα εταιρικά email , yahoo , hotmail ... ( η spamhaus μαζί με baraccuda είναι τα ποιο διαδεδομένα anti spam site τα οποία εμπιστεύονται οι περισσότεροι servers )

Πως το διορθώνω ;

Εδώ είναι το πραγματικά δύσκολο . ΤoClam Antivirus που έχουν οι servers  μέχρι και χθες δεν έπιανε τίποτα...  Το cxs όπως δείχνει να καταλαβαίνει το κακόβουλο λογισμικό. Εάν το έχετε στον server σας τρέξτε το ! επίσης αν έχετε πρόσβαση ssh στον Server σας η spamhaus δίνει ένα πρόγραμμα για να το τρέξετε . Aν σας κλείδωσε την ip τότε θα σας αναφέρει τους λόγους ( και όχι το αρχείο όμως που κάνει την ζημιά ) και θα σας προσφέρει το λογισμικό του δωρεάν να το τρέξετε...

Εναλλακτικά μπορείτε να τρέξετε την εξής εντολή

find -L / -type f -name ‘social.png’ -exec file {} +

να σας εμφανίσει τα social.png αρχεία και να τα ελέγξετε ένα ένα...

Προσωπική άποψη :

Η χρήση σπασμένων themeplugin από τέτοιες σελίδες , προφανώς έχει κίνδυνο και πολλές φορές η ζημιά που κάνουν είναι μεγαλύτερη από απλά να το αγόραζες. Παρόλα αυτά θεωρώ απαράδεκτο να κλειδώνει όλη την ip ενός sharehostingserver επειδή 1-2 πελάτες έχουν cryptophp από σπασμένα theme - plugin ...

 


Update 1 :

h spamhaus μαζί με το blog της fox-it προτείνουν να τρέξετε σε ssh

find -L / -type f -name 'social.png' | xargs file

locate -b '\social.png' | xargs file

αν επιστραφεί κάτι σαν  "../images/social.png: PHP script, ASCII text", τότε βρήκατε ένα μολυσμένο αρχείο

ενώ αναβάθμισε το findbot.pl πρόγραμμα της για ποιο γρήγορο scanning

 


Ολόκληρη η μελέτη

{fcomment}


Διαβάζουμε. Ενημερωνόμαστε. Ψαχνόμαστε. Πινουμε πολλούς καφέδες και συζητάμε.

διαφήμιση google adwords