אחסון בחברות 'גדולות ואמינות'.. וקוד מעניין לPHPים -> כנסו

[למדן וידען]

אז אחד מלקוחותי איחסן את האתר שלו (joomla) בחברת אחסון 'אמינה וטובה' (בלוהוסט בלע"ז) ועוד עם הגנת SiteLock (חברה שותפה) עד שעבר לאחסון אצלי.
כעת בשדרוג קבצי המערכת אני מזהה קבצים בלתי מזוהים מוטמעים בתוך כל מודול, כל פעם בשם אחד.
הרצתי את קוד הקובץ בגוגל, PHPים - תוכלו לתחקר את קוד הזדוני שמקבל הרשאת admin ואת כל משתמשי המערכת כולל הסיסמאות הישר מכל מערכות ג'ומלה..
ע"י קריאת קובץ ההגדרות ושליפת סיסמת הadmin משם.
הקוד כאן.

מה כעת?
אז לאחר שינוי סיסמאות ומחיקת הקבצים שמצאתי.. (האמת שאין כ"כ חומר במערכת הזאת.. אין מה להסתיר שם).
מה עכשיו? איך אני יכול להגן שדבר כזה לא יקרה שוב?

מי שרוצה לתחקר את העניין מוזמן לפנות אלי באישי.
אציין שקבצי הלוג של ביקור המזריק לא קיימים שכן היה זה בשרת שלהם.

 

[s976]

לדעתי, אם עושים סיסמאות חזקות באמת, זה פותר 90% (או יותר) מהבעיות.
וכמובן לא להתקין מודולים שלא בטוחים לגביהם.

 

[למדן וידען]

דווקא הסיסמאות חזקות.
גם המודולים זה פיתוח עצמאי..

 

[עילום]

קראתי בעבר בתגובות כאן בפורום
על חברות שנוגעים בקבצים
כדי להרוויח משאבים\

בהצלחה

 

[yooda230]

לא מבין את ההתרגשות, יכוליות שווירוס במחשב שבו היה פתוח הFTP חודר.
יכוליות תוסף זדוני שהותקן על ידיו בידיעה או שלא בידיעה..
לא בהכרח מדובר בפריצה לשרת או לאתר בשביל להכניס קוד.
יש עכשיו תופעה מאוד רחבה בוורדפרס ש(ככה"נ) מפתחי התוספים שהתוסף שלהם זולג לרשת הם התחילו לפרסם אותו לכאורה עם קוד זדוני שמאפשר להם שני מודלים א. החדרת פרסומות / רידיירקט ובעצם לכסות הוצאות על התוסף שנגנב ב. הם מחדירים אדמין נוסף למערכת ובעצם יכולים לעשות כבשלהם (אולי לתבוע אולי להתריע לא ברור לי זה השערות שלי)
ניתן לראות כאן https://www.rastating.com/malware-being-distributed-with-wordpress-plugins/

בגדול שוב תתקינו מערכת חדשה תעברו על כל הקודים לראות שאין דברים חשודים לשנות את כל הסיסמאות לאתר עצמו למסד נתונים לFTP וכו ולפי הצורך אם יש יוזרים נוספים אולי גם לשנות ע"פ ההרשאות שלהם וכו זהכל לא להתרגש אלא לטפל

נ.ב אין לי מידע בג'ומלה כלל.. התחלתי לבדוק בזמנו וזרמתי עם וורדפרס