Jump to content

Curatarea Forumului Ip.board Infectat / Virusat / Malware


Courage

Recommended Posts

  • Moderators

Există multe modalităţi de a compromite / ataca un website, dar majoritatea atacurilor au acelaşi rezultat. Hackerii fie încearcă să utilizeze site-ul pentru a insera fisiere malware pe server, ori încearcă să redirecţioneze utilizatorii pe site-uri infectate.

Există câteva modalităţi / procedee frecvente folosite de hackerii.

Întotdeauna încearcă să lase în urmă un fişier sau mai multe de tip backdoors în sistemul atacat. Trebuie să ştiţi care fişiere de pe server sunt bune şi care sunt infectate / malware. Pentru a face acest lucru, trebuie să comparaţi fişierele website-ului cu cele dintr-un set de fişiere descărcate de la IPS (fresh download).

Verificaţi dacă există fişiere cu extensia .php ce au denumire ciudată sau aleatorie. Există câteva exemple, dar acestea nu sunt denumirile exacte, ci doar exemple asemănătoare / tipice ale unor asemenea fişiere, care în general sunt foarte scurte şi de genul sh.php sau un şir de caractere aleatorii urmate de extensia .php

 

zx.php
sh.php
123482379874hjsdf8734.php
dsfjklsadjfklasdjfklads.php
ipbfirewall.php

Dacă identificaţi fişiere cu denumirea "ipbfirewall", trebuie să ştiţi că acesta nu este un fişier ori element real, este un cod malware lăsat în urmă ce a fost creat astfel încât să arate ca şi cum ar aparţine softului forumului şi trebuie să-l ştergeţi.

Fişierele malware sunt plasate cel mai frecvent în directorul rădăcină al serverului (root directory), în /cache, /public /uploads, dar pot fi amplasate şi în alte zone.

Un alt aspect ce trebuie urmărit este să căutaţi denumiri ciudate / nefireşti de directoare, comparând structura folderelor dintr-o descărcare curată. Hackerii crează de cele mai multe ori foldere cu denumiri ciudate sau care sunt asemănătoare cu denumirile existente.

Mai jos aveţi o structură standard a directoarelor / folderelor din directorul forum - rădăcină serverului (root directory).

 

-_FileZilla-20130122-173207.jpg

 

 

 

Iar mai jos este un director / folder standard /cache. Aşa trebuie să arate conţinutul folderului /cache:
 

cache_-_FileZilla-20130122-173347.jpg

 

 

 

Dacă găsiţi orice alte fișiere în aceste foldere, sunt şanse foarte mari ca acestea să nu aparţină website-ului. Puteţi să deschideţi fişierul în cauză şi să inspectaţi codul / conţinutul acestuia, pentru a vedea dacă este un fişier infectat sau nu. Nu uitaţi, dacă aveţi instalate third party add ons sau alte aplicaţii (apps) pot exista şi alte fişiere faţă de cele exemplificate mai sus.

După ce curăţaţi toate folderele sau fişierele de orice fel de malware, următorul pas este să încărcaţi (upload) setul de fişiere curate ale forumului şi ale aplicaţiile pe care le aveţi instalate. Descărcaţi aceste pachete curate din zona de client (client area) de pe site-ul IPS şi încărcaţi-le pe server cu ajutorul unui client FTP, asigurându-vă că vor fi rescrise (overwrite) peste fişierele existente.

După aceste operaţiuni, intraţi în panoul de administrare (AdminCP) unde veţi vedea un mesaj de eroare "Furl cache out of date error" şi daţi click pe opţiunea de reconstruire "Rebuild Furl Cache", pentru a corecta această eroare. Acest lucru este normal datorită fişierele noi ce au fost încărcate anterior.

Rebuilding HTML & CSS şi Recaching your skins. De cele mai multe ori codul sau fişierul malicious ori cel de tip backdoors este inserat adânc în interiorul template-urilor, iar acest lucru se face printr-o editare / modificare a fişierelor din skin-ul forumului. Refacerea şi reconstruirea acestora va şterge de cele mai multe ori fişierul / codul malware.

Pentru a face acest lucru, selectaţi "Look & Feel", apoi mergeţi la "Manage Skins and Languages". În partea stanga selectaţi "Template Tools"

 

IP.Board__System_%3E_Look___Feel-2013012

 

 

 

 

Veţi vedea opţiunea de reconstruire a skin-ului de baza "Rebuild Master Skin Data". Selectaţi HTML şi CSS cât şi toate aplicatiile listate sub.
 

IP.Board__System_%3E_Look___Feel-2013012

 

 

 

După ce este finalizat procesul de reconstruire a skin-ului, selectaţi din nou "Template Tools", iar acum în partea de sus găsiţi şi selectaţi "Recache Skin Set"

IP.Board__System_%3E_Look___Feel-2013012

 

 

 

De multe ori atacatorul pătrunde şi în fişiere pachetul lingvistic infectându-le. Pentru a corecta acest lucru, selectați "Look & Feel" > "Manage Languages" > pachetul lingvistic şi selectaţi din dreapta în meniul vertical opţiunea "Rebuild from XML". Această operaţie va reconstrui fişierele lingvistice. Dacă utilizaţi şi un alt pachet lingvistic personalizat, trebuie să reimportaţi respectivul pachet lingvistic pentru a corecta orice probleme posibile.

IP.Board__System_%3E_Manage_Languages-20

 

 

 

Un alt procedeu des întâlnit este modificarea fişierelor .htaccess, conf_global.php, initdata.php şi index.php şi adăugarea în conţinutul acestora a unui cod suplimentar pentru redirecţionare ori în alte scopuri. Verificaţi ca aceste fişiere să conţină doar codul corect. Rescrierea fişierelor cu unele noi / curate corectează fişierele index.php şi initdata.php, însă această procedură nu poate fi utilizată în cazul fişierelor .htaccess şi conf_global.php.

Schimbaţi toate parolele administratorilor pe forum, datele de acces în FTP, precum şi acces în panoul de control. Se recomandă chiar şi actualizarea parolei pentru baza de date MySQL. Contactaţi suportul tehnic al host-ului pentru a obţine detalii despre cum puteţi face acest lucru, dacă nu sunteţi sigur/ă cum se actualizeayă parola MySQL.

O altă etapă ce trebuie parcursă este reimportarea tuturor hooks instalate. Acest lucru îl puteţi face în AdminCP > Manage hooks şi reimportaţi toate hooks.

Ultimul pas este să rulaţi instrumentele din zona de securitate a sistemului. AdminCP > System > System > Security Center

 

Sursa: http://www.romaniaforum.ro/topic/3484-curatarea-forumului-ipboard-infectat-virusat-malware/
 

  • Upvote 2
Link to comment
Share on other sites

As mai adauga si folder-ul /hooks la:

Fişierele malware sunt plasate cel mai frecvent în directorul rădăcină al serverului (root directory), în /cache, /public /uploads, dar pot fi amplasate şi în alte zone.

 

P.S: Nu se vad pozele.

Te-ai inregistrat? Ne-ar placea sa te prezinti.

Cum pot sustine forumul?
Cumpara de la eMag folosind acest link.
--------------------
oG2BN9d.gifse1WdXd.gifQG6MtmI.gifRHYjDzD.gifG5p1wui.gif

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.