Co jest grane? Blog był/jest zainfekowany | DailyWeb.pl - codziennie o sieci

Co jest grane? Blog był/jest zainfekowany

Opublikowano 6 lat temu - 2


Dopiero co wpis wcześniej zastanawiałem się, skąd u licha tak ogromny spadek oglądalności bloga z wyników wyszukiwania. Wszystko wyglądało jak masowy filtr założony na wszystkie frazy, na których osiągałem wysokie miejsce w SERPach. Z pomocą przyszedł +Maciej Kulesa+Asia, którzy zauważyli wchodząc na mojego bloga komunikat o zainfekowanej witrynie. Dlaczego ja owego komunikatu nie zauważyłem? Odpowiedź jest prosta - ja owego komunikatu nie miałem.

Sprawdziłem trzy różne przeglądarki, czyściłem dane prywante etc. niestety bez skutku. Sprawdziłem także Google Webmaster Tools, gdzie po weryfikacji własności witryny można dostrzec czy otrzymało się komunikat o infekcji. Niestety komunikatu brak. Komunikat o zagrożeniu wydaje się nie być generowany dynamicznie, więc podejrzewam, że informacja o infekcji jest na tyle świeża, że DC Google nie odświeżyły jeszcze owej informacji - stąd brak wzmianek w GWT.

Niegdyś przeżyłem (nie wiem jak to sie udalo ;) ) atak wirusa, który dostał się na wszystkie FTP wpisane w Total Commanderze i dopisał odwołanie do zakażonej witryny poprzez IFRAME. Istny koszmar, przeszukiwanie wszystkich plików o nazwie index, admin, config itp i wycinanie z nich IFRAME. Ten, który zostałem teraz zainfekowany był sprytniejszy. Doklejał się do kodu strony podczas jej ładowania. Ilość zainfekowanych plików (jak narazie) 4 + 2 do usunięcia. Ktoś kto przygotował tego robaka był nielada sprytny. Kod IFRAME, który odwoływał się do zarażonej witryny był generowany w locie - także nie było możliwości przeszukania plików na serwerze z nazwą zarażonej strony.

Co ciekawe, do pliku wp-config.php doklejone zostało 6 000 linijek, pustych linijek - gdzie mniej więcej w 3000-cznym wierszu został umieszczony złośliwy kod pobierający "coś" poleceniem PHP - curl. Efekt był taki, że na pierwszy rzut oka nic w pliku nie było - zastanawiające była ogromna ilość pustych wierszych i nawet przy przewijaniu można było przegapić kod.

Sprawa jest dość świeża, gdyż na forum WordPress - powstaje masa wątków - gdzie ludzie opisują podobny problem. Ponoć przyczyną zarażenia jest dziura w skrypcie galerii TimThumb. Ja niestety, jestem przekonany, że to nie to a przynajmniej musi istnieć inne źródło dodatkowo - jako, że z owego dodatku nie korzystam. Skutki usunięte, niestety co do przyczyn dalej brak pewności. Jak rozprawie się z całością - przygotuje obszerny materiał jak w takiej sytuacji sobie poradzić.