Witajcie.

Kilka dni temu moje 3 blogi zostały zawirusowane.

Teraz właśnie kopiuje pliki z serwera na dysk i przelecę je skanerem i spróbuję wyleczyć (czy to jest najlepszy sposób aby pozbyć się tego złośliwego oprogramowania ?)

Drugi problem to to że chcę je sprzedać. I problem w tym że wszystkie 3 są w 1 bazie (limit OVH). Czy mogę je jakoś przygotować do sprzedaży oddzielnie ? Czy muszę sprzedać wszystkie w pakiecie ?

Przeskanowanie plików owszem, ale istnieje również taka możliwość że złośliwy kod zapisany został w bazie danych (SQL).

Jeśli rzeczywiście wirusy są zapisane w systemie plików to antywirus powinien zablokować transfer (kopiowanie).

Należy też zidentyfikować rodzaj podatności która umożliwiła zawirusowanie Twoich blogów.

Czy było to:

• włamanie na konto ftp (np. zbyt łatwe hasło),

• włamanie poprzez przechwycenie loginu/hasła do edycji bloga (brak szyfrowania sesji, pozostawienie zapisanych haseł w profilu przeglądarki itp.)

• podatność samej aplikacji bloga (nieaktualna wersja, brak odpowiedniego update, patcha itp.)

Operację “eksportu” bazy najlepiej wykonać przy pomocy szyfrowanej sesji PhpMyAdmin (https://phpmyadmin.ovh.net/)

Po wydobyciu danych SQL i skopiowaniu plików możesz zainstalować aplikację lokalnie (na swoim komputerze), zaimportować dane, sprawdzić antywirusowo, wyeliminować opisane wyżej podatności (dla pewności zmiana wszystkich haseł do konta hostingowego)

i na koniec zdecydować o rozdzieleniu bazy danych dla potrzeb sprzedaży.

W razie potrzeby proszę o kontakt: greos7@gmail.com

pozdrawiam

Tra, la, la… antywirusem to sobie można

Te w większości wykrywają jedynie skrypty js (i to nie wszystkie), php zaś w większości przepuszczą.

Poza tym różne mutacje malware wychodzą w takim tempie, że nie nadążają z sygnaturkami.

-najpierw sprawdza się dokładnie swój komputer na obecność szkodników.

-następnie blokuje się całkowicie stronę w pliku .htaccess

-potem sprawdza się daty modyfikacji zarażonych plików i gdzieś notuje

-jeżeli ma się backupa, można z niego całość przywrócić, jeżeli nie:

-można /choć nie zawsze trzeba/ pobrać pliki na dysk i czyścić lokalnie …można też bezpośrednio na serwerze

-pliki systemowe można przywrócić z paczki instalacyjnej

…np. w przypadku wordpressa - kasuje sie katalogi wp-admin i wp-includes, potem przywraca się je z najświeższej paczki,

z tej samej paczki nadpisuje się pliki z katalogu głównego wordpressa, kasuje się wszystkie pluginy i przywraca ich kopie z ostatnich paczek.

-w przypadku szablonów jest trudniej, bo te w większej części są modyfikowane i trzeba troszkę plików sprawdzić ręcznie, resztę mozna znowu przywrócić z oryginalnej paczki.

Pozostają już tylko niezmodyfikowane pliki jak .htaccess, plik konfiguracyjny itp. - te trzeba sprawdzić ręcznie … w śród takich plików może być przemycony jakiś shell code.

-do sprawdzenia jest jeszcze baza - choć nie zawsze.

Często można sobie część pracy zautomatyzować czy to korzystając z wyszukiwania plików, czy to z masowego ich przetwarzania znajdź-zmień.

Pozostaje jeszcze analiza logów serwera - na to były spisywane daty modyfikacji zainfekowanych plików - by znaleźć źródło infekcji.

(jednym z częstszych jest stosowanie starej i “odbezpieczonej” wersji timthumb)

Mając to info nanosi się na stronę odpowiednie poprawki i zabezpieczenia.

Po wszystkim stronę można przywrócić.

Dla pewności można sprawdzić http://sitecheck.sucuri.net/scanner/ czy jest ok.

Zostaje jeszcze zmiana haseł ftp, baza, panel.

…Co do baz, to można porobić eksporty