Jutros me iznenadila poruka antivirusnog programa kad sam pristupao WordPress stranici klijenta. Naime, Avast mi je blokirao pristup istoj s porukom da se na stranici nalazi maliciozni kod JS:Small-C[Trj]. Prvo sam mislio da se radi o lažnoj uzbuni.
Uhvatio sam se Googla i krenuo u potragu o čemu se radi. Prvo što sam skužio je da se ne radi o lažnoj uzbuni i da mi je WP stvarno zaražen tim trojanom. Trojan sam po sebi ne radi direktno štetu stranici, ali zato otvara prostor za ubacivanje Malware-a koji onda dalje radi kaj god već radi.
Dijagnoza
Na Avastovom forumu sam pronašao već nekoliko slučajeva ovog tipa zaraze sa identičnim trojanom. On naime napada nezaštićeni kod, konkretnije predložak WP i u njega upisuje dio Javascript koda koji onda otvara prolaz drugim „sranjima“. U mom slučaju je bila zaražena Header.php datoteka predloška s JS kodom koji se nalazi na priloženoj slici.
Rješenje
Konkretna stranica je imala stariju inačicu WP platforme. Naime postavljena je bila 2.8.x inačici. Radilo se o mom propustu što je nisam ažurirao na novu 2.9.2 inačicu koja ima zaštitu od ubacivanja te vrste malicioznog koda. Prvo što sam napravio je ručni upgrade na 2.9.2 inačicu, znači preuzimanje sa WordPress.org stranica i ručno, FTP-om, uploadanje na site.
Slijedeći korak je bio otvaranje Header.php datoteke (moguće i ugrađenim editorom WP administracije) te brisanje koda u datoteci. To je naime, riješilo stvar. Sreća u nesreći je bila što se taj napad desio negdje noćas ili jutros pa je problem otkriven na vrijeme, jer da je došlo do otvaranja prolaza Malware-u vjerojatno bi slijedila i blokada stranica od strane Googla. Što baš nije zgodno.
Na slijedećem linku se nalaze osnovne upute oko čišćenja tih tipova malicioznih kodova sa web stranica: http://www.stopbadware.org/home/security
Rezime
Sve svoje WP stranice držim ažurnima, to znači da čim izađe nova inačica platforme istog trenutka je ažuriram. Ista situacija je i sa dodacima (pluginima).
Desio se jedan propust gdje je WP ostao na nešto starijom inačici i već je bio žrtva napada. Isto tako preporučam postavljanje sigurnosnog plugina kojeg možete preuzeti na adresi Semperfiwebdesign.com.
uf… hvala kaj si reko. Inače ne pazim previše na updateove. jednom sam čak odgirao na 0.2 verzije ispod aktualne :/
sad sam imao 2.9.1 al za svaki slučaj stavio sam 2.9.2 :)
uf… hvala kaj si reko. Inače ne pazim previše na updateove. jednom sam čak odgirao na 0.2 verzije ispod aktualne :/
sad sam imao 2.9.1 al za svaki slučaj stavio sam 2.9.2 :)
Imao sam jednu WP instalaciju u 2.2, nisam je ažurirao zbog dosta custom promjena. Nije bila napadnuta, a site je posjećeniji od ovog koji je napadnut. Ma, najbolje je držati sve na zadnjim verzijama i ziher si.
Imao sam jednu WP instalaciju u 2.2, nisam je ažurirao zbog dosta custom promjena. Nije bila napadnuta, a site je posjećeniji od ovog koji je napadnut. Ma, najbolje je držati sve na zadnjim verzijama i ziher si.
Odlichna analiza!
Odlichna analiza!
Meni google javlja da mi je wordpress zaražen s JS:FakeAV-DX[Trj]. Gledao sam kod stranice ali nigdje ne vidim problem. Jedino ako etarget reklama ne radi problema.
Meni google javlja da mi je wordpress zaražen s JS:FakeAV-DX[Trj]. Gledao sam kod stranice ali nigdje ne vidim problem. Jedino ako etarget reklama ne radi problema.
Problem sam uspio riješiti uz pomoć Plus.hr supporta. U pitanju je bio base64 attack. U wp-config.php datoteci je u prvom redu nakon otvorenog taga <?php bila dodana skripta enkodirana u base64 formatu.
Bila je skrivena tako da je kod bio pomaknut u desnu stranu da ne bude vidljiv ako se editira uz pomoć pico editora. Nakon što sam maknuo problem je riješen.
Problem sam uspio riješiti uz pomoć Plus.hr supporta. U pitanju je bio base64 attack. U wp-config.php datoteci je u prvom redu nakon otvorenog taga <?php bila dodana skripta enkodirana u base64 formatu.
Bila je skrivena tako da je kod bio pomaknut u desnu stranu da ne bude vidljiv ako se editira uz pomoć pico editora. Nakon što sam maknuo problem je riješen.