Wczoraj podczas pracy na komputerze Windows Defender powiadomił mnie o zagrożeniu o nazwie Backdoor:PHP/CryptInject:YA. Powiadomienie powtórzyło się ok. 3-4 razy. Jednocześnie przy wszystkich ikonach na pulpicie pojawiły się dwie skierowane ku sobie strzałki (symbol włączenia kompresji plików). Po przerzuceniu zagrożonych plików do kwarantanny i usunięciu ich oraz “odhaczeniu” opcji “Kompresuj zawartość, aby zaoszczędzić miejsce na dysku” przy plikach na pulpicie, wszystko wróciło do normy. Do dziś, kiedy powtórzył się dokładnie ten sam schemat.
Oto linki do raportów z programu FRST:
Addition: http://www.wklejto.pl/755368
Shortcut: http://www.wklejto.pl/755369
FRST: http://www.wklejto.pl/755370
Eset wykrył zbyt nadgorliwie zagrożenie w CCleaner.
Pozostałe pliki zostały znalezione w katalogu z szablonami. Te nie były bezpieczne.
Jeśli pobierasz na własne potrzeby jakiekolwiek pliki, a nie masz pewności co do ich bezpieczeństwa, wyślij je do kontroli na www.virustotal.com
Czy przenosisz jakieś pliki na własny serwer?
Czy korzystałaś z tych skanowanych plików?
Przenoszę pliki na serwer nazwy.pl co rano, bo mam tam sklep internetowy (to jest w ogóle osobna historia - w wielkim skrócie sklep nam się co noc wysypuje i muszę podmieniać plik index.php strony głównej i panelu zarządzania sklepem - wtedy wraca do normy. Sklep nazywa się właśnie “abeceda”, tak jak w tych skażonych plikach…). Z tych skanowanych plików raczej nie korzystam.
Strona wygląda na bezpieczną.
Przed chwilą skanowałem.
Sprawdź jutro czy nadal zamienia ikony
I po przeniesieniu plików na serwer i restarcie komputera przeskanuj ESET
ESET nic nie wykrył, czy to oznacza, że mogę mieć nadzieję, że udało mi się pozbyć dziada?
Pozwolę sobie jeszcze podpytać o jedną rzecz - odnośnie tego padającego sklepu co noc. Za każdym razem “coś” dopisuje w pliku index.php taki kod:
/57d06/
Wtedy strona jest padnięta, rano podmieniam na serwerze index i wszystko wraca do normy. I tak od paru miesięcy (mam wrażenie, że pokryło się to w czasie z włączeniem na stronie certyfikatu SSL).
Jednak coś nadal siedzi i miesza
ten kod powyżej oznacza @include “/home/hantio/ftp/abeceda/moduly/wysylka/.88f4febc.ico”;
I wygląda na to, że plik index.html jest modyfikowany i próbuje podłączyć zainfekowany plik
Skanowałem kilkoma skanerami Twoją stronę i nic nie wyłapuje.
Nic prostszego nie przychodzi mi do głowy jak skopiowanie strony na PC i przeskanowanie ESET
Zaś rano przed wysłaniem czegokolwiek, sprawdź stronę skanerem Sucuri
oraz IsItHacked?
Cześć, daję znać dopiero teraz, bo chciałam trochę poczekać, by upewnić się w efekcie.
W sobotę rano przed podmienieniem indexów (czyli z padniętą stroną) pobrałam z serwera na dysk cały sklep. Skanowałam też tymi stronkami, które mi podpowiedziałeś wyżej, ale nic nie pokazało.
W każdym razie odpaliłam ESET - pełne skanowanie tego folderu ze sklepem.
Jak tylko skończyło się pobieranie folderu, zaraz zaczął mnie znowu bombardować wirus.
ESET wykrył 13 zainfekowanych plików. Jak skończyłam skanowanie, pobrałam raport. Weszłam na serwer i po kolei wywaliłam dokładnie te pliki, które pokazał raport. Większość z nich łączyły dwie rzeczy - były to pliki składające się w nazwie z rozsypanki liter z rozszerzeniem php (czyli raczej nie spełniające żadnej roli tylko losowo powtykane w różne foldery) wszystkie z datą 14.02.2019. Reszta to były raczej ważne pliki, odpowiadające np. za logowanie się, rejestrację itd. Pobrałam więc ze strony shopgoldu wersję sklepu, którą mamy, wybrałam te potrzebne rzeczy, które zostały wykasowane, zgrałam do osobnego folderu i na wszelki wypadek jeszcze przeskanowałam esetem i wgrałam na serwer w miejsca, z których usunęłam te zainfekowane. Potem zrestartowałam kompa, zrobiłam czyszczenie ADWCleaner i puściłam pełne skanowanie laptopa na ESECIE jeszcze raz (wyszło ok).
W niedzielę strona działała! Nic nie podmieniło indexów Postanowiłam zgrać sobie sklep na dysk, żeby mieć po prostu zapasową kopię, ale ku mojemu zdziwieniu znów coś z niego “wylazło” - tym razem był to jakieś 2-3 pliki z rozszerzeniem ico. Usunęłam je z kompa, z serwera, zrobiłam skanowanie i nic nie pokazało. I jak na razie strona działa Czy jest coś, co mogę jeszcze zrobić, by uchronić sklep przed takimi kwiatkami w przyszłości?
Dobrze, że o tej stronie wspomniałam, bo jak się okazało nie były to wcale osobne historie, tylko jedna. Baaaardzo serdecznie dziękuję za pomoc i wszystkie podpowiedzi!
Jednak moja radość okazała się przedwczesna - dziś od rana znów strona padnięta i komunikat “The file /home/hantio/ftp/abeceda/index.php is corrupted.” tak jak w screenie, który wklejałam wyżej…