Ráktalicska

… hogy görbíti a teret…

Feladom – mégis sikerült megoldani!

Írta JonC Ekkor: 2010. február 15.

Nem tudom mi a baja az oldal RSS-ének. Az tuti, hogy valamiféle hack áldozata lett, ami csak Google Reader-ben, és iGoogle-ben jelentkezik, de ennél jobban nem tudom behatárolni a hiba okát. Már körbeírtam a magyarangol WordPress-t, a Google Reader fórumját, a FeedBurnerét is, de senki nem tud semmi érdemlegeset mondani. Már nincs admin nevű userem, megváltoztattam az FTP- és az admin jelszavakat, átírtam a .htaccess file-t, leoptimalizáltattam egy pluginnel a feedemet, újraraktam a WordPress-t(!), kipróbáltam mindent… és semmi hatás.

Ezúton szeretném közhírré tétetni, hogy ha olvassa ezt olyan php/rss/wp-guru, aki szívesen utánanézne a problémámnak (csak emlékeztetőül: Google Reader-ben kattintva bármelyik linkre amelyik elvileg az oldalra visz vissza az elirányít a http://p3p0.com/?said=3333g&q=facebook-ra, vagy rosszabb esetben egy bejelentett támadó-webhelyre), attól szívesen fogadnám, ha rámírna a jonc[kukac]raktalicska.hu címen, és felvenném MSN-re. Természetesen nem várom el ingyen az erőfeszítéseit, siker esetén fizetek, mint a katonatiszt!

Ja, és ez nem valami szarul elsütött SEO-trükk, de légyszi ha ismertek ilyen szakembert küldjétek el neki ennek az oldalnak a linkjét! Köszönöm!

UPDATE:

HATALMAS nagy riszpekt bachterman-nak, aki egy mai (16.) kommentjében belinkelt két oldalt, amelyek segíthetnek. Bár Joomla-s fórum volt az egyik, mégis ott találtam egy tippet, ami alapján elindulhattam:

Thanks

I found this code in the defines file (includes/defines.php) and removed it and it fixed the issue… should I keep any of it, I deleted the whole line of code from line 14

*/ eval(base64_decode(“CglpZiAoc3R[removed]p9Cgk=”));

Letöltöttem az összes php/css/js file-t a szerverről a gépemre, rájuk szabadítottam a Total Commander keresőfunckióját úgy hogy szövegre keressen, mégpedig erre: ‘eval(base64’, és láss csodát… talált is ilyet, mégpedig a config.php file-ban!

Ezt tessék figyelni:

ez egy alap config.php eleje, amit a WordPress rak fel:

<?php
/**
* The base configurations of the WordPress.
*
* This file has the following configurations: MySQL settings, Table Prefix,
* Secret Keys, WordPress Language, and ABSPATH. You can find more information by
* visiting {@link http://codex.wordpress.org/Editing_wp-config.php Editing
* wp-config.php} Codex page. You can get the MySQL settings from your web host.
*
* This file is used by the wp-config.php creation script during the
* installation. You don't have to use the web site, you can just copy this file
* to "wp-config.php" and fill in the values.

Ez pedig az, amit én találtam a szerveremen:

<?php                                                                                                                                                    eval(base64_decode("CglpZiAoc(blablabla)wp9Cgk="));
/**
* The base configurations of the WordPress.
*
* This file has the following configurations: MySQL settings, Table Prefix,
* Secret Keys, WordPress Language, and ABSPATH. You can find more information by
* visiting {@link http://codex.wordpress.org/Editing_wp-config.php Editing
* wp-config.php} Codex page. You can get the MySQL settings from your web host.
*
* This file is used by the wp-config.php creation script during the
* installation. You don't have to use the web site, you can just copy this file
* to "wp-config.php" and fill in the values.

A különbséget zongorázni lehet, ugye? 🙂 A fenti – valamilyen módon odakerült (amúgy jóval hosszabb, csak megcsonkítottam a rohadékot), ráadásul base64-be kódolt káros kód eltávolítása után újra rendeltetés-szerűen működik a feed-em! Még egyszer köszönöm a segítséget bachterman! 🙂

UPDATE2:

átküldtem ThomAce néven futó kollegámnak a fenti káros kódot, aki visszafejtette nekem. A következő beszélgetés zajlott le közöttünk (vastaggal én, simával ő):

szia
íme a kicsike:
[hosszú kódocska helye]
ez a kód azt célozza meg, hogy a google-ben le legyen tiltva a weboldalad
hm
faszaság

kicsit szétkaptam a kódot, hogy olvashatóbb legyen
hm
nem nagyon értem
hogyan irányított ez engem állandóan át, ha feedben kattintottam?
meg persze az olvasóimat?
http://p3p0.com/?said=3333g&q=facebook
ide dobott mindig
úgy, hogy egy átirányító oldalon keresztül irányított arra az oldalra, amit végül kaptál
pf
k[***]a anyját
lengyel volt a srác
köszi az infót…
pl cím
látom
megpróbálom kinyomozni, hátha van lengyel készítésű pluginem
bármilyen keresőmotorról mentén rá, akkor átdobott
saját oldalról nem dob át
onnan nem
de pl Google Readerből igen, pedig elvileg a blogra mutatott a link
éppen ezért
.nu, site vagy inurl követésekkel nem működik a kód
ezek szerint ha Google találati listában volt a blog akkor is átirányított?
if(!stristr($_SERVER[HTTP_REFERER],”.nu”) and
!stristr($_SERVER[HTTP_REFERER],”site”) and
!stristr($_SERVER[HTTP_REFERER],”inurl”)){
ha vki kattintott rá?
igen, ha nem site-ként, nem inurl-ként nézte, és nincs benne .nu cím
tehát a .nu domainvégződés kizáró ok a működésben
ezt alátámasztja az is, h mostanában nem volt új bejegyzés a látogatási statjaimban google keresésekről
kivétel, yahoo vagy bing
illetve k[**]va kevés
ez van
durva
magad is láthatod a kódot
ezt figyi:
13.-a után nem volt bejövő találat Googleről kb
ma indult meg megint
miután kiiktattam ezt a szart
igen
mivel eleve átirányította még mielőtt bármi lefutott volna
bazze
ez van
köszönöm az infókat még1X
Ez jó, megosztom!

    19 hozzászólás

    1. ezüstnyír:

      Nem lehet, hogy nem benned van a hiba?

      A komment időpontja: 2010 február 15th, 20:10

    2. JonC:

      nem hinném… egész egyszerűen nem értek hozzá, bár lehet, hogy egy hozzáértőt is megizzasztana a kérdés. majd elválik, meghirdettem a “munkalehetőséget” a magyar WP-fórumon, ott hemzsegnek a pénzéhes guruk 🙂

      A komment időpontja: 2010 február 15th, 20:14

    3. Nfol:

      Én nem tapasztaltam az említett átirányítást a Readerben sem Firefoxszal, sem Chrome-mal böngészve.

      Viszont Chrome-ból általában nem sikerül hozzászólnom a bejegyzéshez, azt írja, hogy túl gyorsan kattintok. 😐

      A komment időpontja: 2010 február 15th, 20:55

    4. JonC:

      mindkét észrevételed érdekes 🙂 én több gépen is próbáltam (Opera és FF alól), és mindig átirányított ez a rohadék. a Chrome-os problémának utánanézek, hátha van valami változó a kommentkezelő pluginben, amit átírva nem fog hisztizni!

      A komment időpontja: 2010 február 15th, 20:59

    5. bachterman:

      no tehát. két dolog is.
      első: próbálj meg virtuális gép alól próbálkozni, hátha valami rootkit-ed van a gépen. vagy másvalakitől.
      a második: a blog teljes lementett tartalmát (sql és file-ok) totálkommanderrel nézesd meg (alt+f7, keresés file-okban), hogy tartalmaznak-e ilyen p3p0 szöveget.

      A komment időpontja: 2010 február 16th, 10:05

    6. bachterman:

      még apróságok: http://3.ly/Z8R6 és http://3.ly/VHeB
      de amúgy egy popó-s google keresés elég sok találatot ad ki, hogy elindulhass.
      ingyen tanács, fogadd meg. 🙂

      A komment időpontja: 2010 február 16th, 10:10

    7. JonC:

      ember!

      leborulok előtted! 😀

      a config.php file-ban volt egy kis bekódolt cuccocska, aminek nem kellett volna ott lennie! HATALMAS köszönet, és hála neked! majdnem egy heti idegeskedésemet szüntetted meg ezzel a két linkkel! mivel tudnám kifejezni a hálámat?

      A komment időpontja: 2010 február 16th, 11:37

    8. DjZoNe:

      Pénzéhes guruk…

      A komment időpontja: 2010 február 16th, 11:58

    9. bachterman:

      pénzzel? 😀 😀

      A komment időpontja: 2010 február 16th, 12:35

    10. JonC:

      és azon kívül? 😀 😀

      A komment időpontja: 2010 február 16th, 12:43

    11. ThomAce:

      Ez van. A base64 nem egy visszafejthetetlen mime encoding technológia. Wikipedia-n van egy angol leírás, ami megfelelően taglalja, hogy mire is használjuk. A PHP eval függvényről most nem kívánok értekezni. Hajará JonC! Hajará! 🙂

      A komment időpontja: 2010 február 16th, 15:53

    12. bachterman:

      ugyan már.

      A komment időpontja: 2010 február 19th, 11:42

    13. tzs007:

      Nézd át a theme foldered is, nekem a multkor a header.phpba taknyolt bele egy malware, szimplán beillesztett egy et. A másik esetben pedig a wp-includesben a tinyMCE-t támadta be.

      Ha ilyen redirect para van legtöbb esetben valamilyen malware okozza.

      A komment időpontja: 2010 március 1st, 09:49

    14. tzs007:

      pénzéhes lol… ha mindenki ingyen dolgozna kihalna az emberiség

      A komment időpontja: 2010 március 1st, 09:50

    15. tzs007:

      ja hehe, comment kivágta a lényeget.. szóval beillesztett egy j.a.v.a.s.c.r.i.p.t-et

      A komment időpontja: 2010 március 1st, 09:52

    16. JonC:

      köszi a tippeket! malware alatt azt érted, hogy az a gép fertőzött, ahonnan pl ftp-vel kapcsolódni szoktam a tárhelyemhez?

      A komment időpontja: 2010 március 1st, 10:08

    17. tzs007:

      lehet rossz a meghatározásom rá, inkább úgy mondom, hogy velem történt nemrégiben olyan hogy valami malware spyware akármiware bejött a gépre ellopta az FTP fiókokat majd felcsatlakozott (hála az egyszerű ftp jelszavaknak a bot kitalálta) és felrakott eleinte sak az index.html végére iframet, aztán legutóbb js-t. ezeket kitörölve megoldódik a probléma, bár mivel te újratelepítetted a teljes WP-t az includes ebben az esetben felülíródik, hacsak eleve nem fertőzött az eredeti WP-d is.

      A komment időpontja: 2010 március 1st, 10:38

    18. JonC:

      csak tán nem az, mivel az adminfelület Eszközök menüpontjában található Frissítés segítségével csináltam, az meg a WordPress tárhelyéről húzza le a frisset 🙂
      Talán most már nem lesz ilyesmi, tényleg megváltoztattam az ftp-jelszót (is), úgyhogy lényegesen kisebb esélyt adok a jövőben az ilyesminek. meglehetősen bosszantó volt, nem akarom még egyszer átélni 🙂

      A komment időpontja: 2010 március 1st, 10:46

    19. tzs007:

      ja ez csak saját gépről felmásolva érvényes:)
      képzelheted milyen ideges voltam amikor 3 siteot támadott be és teleköpte Code Igniter mappákat (ahol mindegyik mappában volt egy index.html arra ez esetre ha valaki böngészőből szeretne könyvtárakban garázdálkodni) és szépen pucolhattam ki egyesével a fileokat…

      A komment időpontja: 2010 március 1st, 10:59

    Írj kommentet!

    

    Top 5 post

    

    Érdekesség még, hogy 790 darab post, és 2657 darab kommentár született a blogon 2009. szeptember 12. óta. 2 vendég, 2 bot - most ennyien vagytok/vagyunk az oldalon.

    Tagek