Jak ze stanice otestovat web na malware?

Takže nové informace. Šéf to zahlédl u konstruktéra, který místo FF začal používat Chrome. Win7 64b profi.

Na tom webu jsou i prezentace strojů. Obrázky se mění podobně jako když člověk kouká na powerPoint.

Zatím to dělá jen u toho kolegy.

screen přikládám.

Instaluji Chrome u sebe, abych to vyzkoušel i u mě.

• Zakaz mu v prohlizeci a jeho nastaveni spustet <RUN >javasript. Uvedeny odkazuje na twemoji.maxcdn.com etc.
Original SCRIPT/Slozka : twemoji

[img=/file/view/25027-capture-png]http://pc.poradna.net/file/view/25027-capture-png[/img]

Díky CoCoChanel.
Problém je potřeba řešit jinak. U nás ve firmě ( teď když to šéf viděl ) bych to snad uhádal a provedl. Bohužel je možné, že se na ten web podívá nějaký náš zákazník a uvidí tu hlášku taky. Musíme to řešit na webu. Kontaktoval jsem člověka, který ten web dělá. Já jen z doslechu vím, že je tam WordPress, ale nemám tam přístup.

Wordpress měl několik bezpečnostních děr, přes které se do něj malware mohl dostat..

Nevím jestli se tomu dá věřit, ale mohlo by být vodítko sitecheck.sucuri.net

dzutango

Anglicky umím tak možná napočítat do 3, ale to video je názorné.
Jestli jsem to pochopil dobře, mělo by stačit připojit se přes ftp a pak to projet nějakým antivirem?

Poslal jsem ti PM

CoCoChanel
Nerozumím, neznám.
Domnívám se, že mi radíš připojit se přes ftp a pak tam něco smazat. Je to tak?

•Smazat ho muzes i près admin tools. (za 20min) budu uz v kanclu, Tak ti to napísu.

Jiná otázka k jinému webu.
Když už se musím zabývat WP, přiznám se, že trošku pomáhám jedné neziskovce s jejich webem taky na WP. ( Jednooký mezi slepými králem )
Otázka k aktualizi WP. Tam mám poslední českou verzi WP. Co se stane, když na český web nainstaluji nejnovější WP, který je zatím pouze us?

Edit: tam jsou jen texty a pokud někdo chce koukat na fotky z výletů, je tam odkaz na Picassa.

Zrejme budú texty v administrácii a na stránke v angličtine... Prípadne, ak nenastali veľké zmeny - môže preklad v pohode fungovať...
WP nepoužívam, ale Joomla tak funguje.

4.4.2 je posledni, neni jen v ENG, a stejne THEME je popsané tak jak jso ho pojmenoval (prekladac neni integrovany ve WP). Po posledni verzi se podivej zde :download
• Na to proskenovani WP pouzij : WP SECURITY
• Dalsi co bych vytvoril, je ".htaccess" ".htpasswd" do korene <WP-ADMIN + WP-THEME>, jelikoz jde o citlivé clanky, které jdou rychle zneuzit/prorazit.
• To samé, jestli uz mas stahlou tu Filezilla, tak se podivej do prav kuprikladu index.php na serveru, jaké maji prava, mel bys jim nastavit 0666 nebo 666 v otazce prav uzivatelu "cteni" + "zapis"
• Tu tvoji extention muzes vymazat primo v ADMIN pod Wordpress.
Z Wordpress mam certifikat , tak naky zaklad tam mam, i kdyz nejde o odborny diplom
.
Nemam to v CR, ale zajed do EXCTENTION > installés a tam si najdi ten co ti dela bordel, zadej "DEZAKTIVOVAT" a nasledovne "SMAZAT".
[img=/file/view/25031-capture-png]http://pc.poradna.net/file/view/25031-capture-png[/img]

Ta stranka mas prihlasovaci jméno admina "admin" vid? , ta stranka neni nijak chranena, mel by jsi udelat alespon naky zaklad prevence..

TiP~:
Na projeti a zkousky slabosti WP : https://wordpress.org/support/plugin/wp-security-s can
Na Anti-Spam, aktivace zdarma pro <BASIC CLANTALK>, velmi dobry : wordpress-anti-spam-plugin

Jen informace, jak to pokračuje.

Odchytl jsem včera ještě člověka, který má web na starost.
WP security nenašel nic.
Ani jakýsi další plugin nenašel nic.
Provedena záloha souborů i databáze na lokální disk. AVG ani MBAM nenašlo nic.

FF, IE, ani firewall ve win nebo AVG nic nenormálního nezobrazí.

Nainstaloval jsem si Chrome a podíval na ten web a hned je tam ta hláška. Znovu načtu stránku a vše je vpořádku. Znovu načtu stránku a vše je vpořádku. Znovu načtu stránku a vše je vpořádku. ....
V Chromu jdu do Nastavení, historie a vymažu Cookies. Podívám se na ten web a je tam hláška a po obnovení zase zase ne.

Srovnáním velikostí souborů se starýma zálohama jsme zjistili, že hodně souborů .js je větších. Na konci souborů je nějaký kód navíc. Musíme to všechno projít.

Tak snad autor webu vie ze ci programuje v HEXA znakoch Tak co to asi bude...
(si to skonvertuj hex do ascii a uvidis ten kod)

Už jsem si to prohlížel. Díky.

Je zajímavé, že to nenašel ani MBAM ani AVG.

Pomohlo by, kdybych ten kód navíc někam poslal?

MBAM ani AVG.

• A coby tam meli najit proboha , takle tobohuzel nefunguje, nevim jak <AVG> muze najit treba to, ze ti nekdo do WP muze pro zneuziti INJECT SQL, nebo ze v <?PHP> , je napsan skodlivy kod V tvém pripade jen nainstalovany .js otravny doplnek.
• Kdyz si ho otestovat, tak ho spusti :LOCAL pres APACHE a tam si si zkousej co potrebujes, kde se nemusis bat jeho destrukce
Az ho budes mit doladeny a opraven, tak ho pres FTP zase posli zpet.

Kam to chces posielat? Pozri si ze co to robi (po skonvertovani na ascii). Ja neviem co tam mas a ani kto to vyrobil, a ci to neni nahodou nejaka sucast engine, ale vzhladom na to ze to je v hex tak asi neni :)

Ze to nenasel nejaky antivir neni zaujimave, je to ocakavany vysledok zbytocnych antivirov :) Ale dokial si nepozres ten kod tak nebudes vediet ze co to je. potom si mozes googlit nejake slova z kodu.

• Ten WP SECURITY neni antivirus, ale extention, ktera poukazuje na slabosti tvé stranky ve WP
Zkratka jen vymaz tu extention a jeto, neni co resit + alespon zakladne ten wordress zabezpecit.
• Nebo pres FTP ten WP-emoji-relase.min.js vymaz, ale uricte jde DEZAKTIVOVAt a nasledvno DESINSTALOVAT s ADMIN listy primove ve WP.
• Zatim neni vubec zabezpeceny, a jednoduse jde zjistit, ze prihlasovaci udaje, kuprikladu to, ze admin nechal prihlasovaci jmeno"admin" etc.
• Kdyz ti nekdo dopise za www.xxxx?author=1, tak jde rychle zjistit prihlasovaci jméno, to ma byt vse nastavené v .htaccess, tak jak wp-admin

Jsi do .htaccess alespon pridej:

RewriteCond %{REQUEST_URI}  ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ www.opticontrol.cz/? [L,R=301]