κακόβουλα αρχεία βρέθηκαν από ελεγχο του hosting provider

[ROUBOS]

Για σας,

έχω μια ιστοσελίδα με παλιότερη έκδοση του Elxis. 2009.3

Η tophost βρήκε κακόβουλα αρχεία και κατέβασε την σελίδα. Παρακάτω είναι η λίστα με τα κακόβουλα αρχεία:

Μετά από έλεγχο που πραγματοποιήθηκε στο site σας βρέθηκαν τα παρακάτω κακόβουλα αρχεία:
{CAV}PHP.wp_wp_trojan2.59 : ./xmlrpc.php
{CAV}PHP.wp_wp_trojan2.59 : ./administrator/tools/fix_pg_sequences/language/test0.php
{CAV}PHP.wp_wp_trojan2.59 : ./includes/seopro/.css.php
{CAV}PHP.wp_wp_trojan2.59 : ./cache/1/1f/1f2/.code8.php
{HEX}php.nested.base64.516 : ./parkso.php
{CAV}PHP.wp_wp_trojan2.59 : ./templates/ks-eros/images/.search40.php
{CAV}PHP.wp_wsoLogin.63 : ./smsfjym.php
{CAV}PHP.wp_wp_trojan2.59 : ./components/com_wrapper/inc20.php

Παρακαλώ προβείτε στην απομάκρυνση του κακόβουλου κώδικα προκειμένου να ενεργοποιηθεί εκ νέου το site σας.
Στη διάθεση σας για οποιαδήποτε αλλη πληροφορία χρειαστείτε.

Τί να κάνω για να επαναφέρω την σελίδα; Να διαγράψω αυτά τα αρχεία; Να τα αντικαταστήσω με άλλα από το Elxis 2009.3 download;

Ευχαριστώ

[datahell]

Κανένα από αυτά τα αρχεία δεν είναι του elxis, συνεπώς τα σβήνεις. Το θέμα όμως είναι ότι πιθανόν θα υπάρχουν και αλλού προβλήματα. Ψάξτε στα logs να βρεις πως συνέβει αυτό ώστε να διορθώσεις την πηγή του προβλήματος, όχι το αποτέλεσμα.

[webgift]

Σκοπός λοιπόν είναι να βρεθεί η απάντηση στο πως μπήκαν τα αρχεία αυτά στην ιστοσελίδα. Αν είναι πακέτο Shared τότε πολύ
πιθανόν να υπάρχει και από αλλού τρύπα. Εννοώ από άλλη ιστοσελίδα. Σε τέτοια περίπτωση δεν θα σου κοινοποιήσουν ποια
ήταν η αιτία.

Οπότε αν ήμουν στην θέση σου θα έκανα έλεγχο τα αρχεία που υπάρχουν στην διανομή όπως διανέμονται από την κοινότητα σε
σχέση με αυτά που υπάρχουν τώρα στην ιστοσελίδα σου. Που ξέρεις αν έχουν γραφτεί, σε ορισμένα αρχεία της διανομής, γραμμές
κώδικα που δεν είναι οι επιθυμητές; πχ backdoor.

Τέλος θα έσβηνα τα αρχεία αυτά και θα έλεγχα τα αρχεία καταγραφής. Ανάλογα της δικαιοδοσίας του πακέτου φιλοξενίας που
έχεις στην κατοχή σου, είσαι και στην θέση να γνωρίζεις ή να αναζητήσεις περισσότερα.

[ROUBOS]

Δεν γνωρίζω και πολλά, αν και έχω στησει καμιά δεκαριά ιστοσελίδες με Elxis CMS 2009.3.
Πρώτη φορά μου παρουσιάζετε τέτοιο πρόβλημα.

Διέγραψα τα αρχεία και τους ζήτησα να το κοιτάξουν, και να μου πουν από που μπορεί να προέρχοντε τα αρχεία αυτά.

Ίσως και να φτιάξω νέο site με την νεότερη έκδοση του Elxis. Τα δεδομένα δεν θέλω να χαθούν.

Κοίταξα τα αρχεία log απο το plesk στα γρήγορα, αλλά δεν γνωρίζω και πολλά.

Ευχαριστώ για την βοήθεια. Θα δω τι θα μου πουν.

 

[datahell]

Σε τέτοιες περιπτώσεις συνήθως έχουν χτυπήσει όλο το μηχάνημα και έχουν μολύνει πολλά site. Συνήθως κρύβουν τον κακόβουλο κώδικα σε υπάρχοντα αρχεία και τροποποιούν την ημερομηνία τους ώστε να μην φαίνεται ότι έχουν τροποποιηθεί. Το elxis 2009.3 στα εργαλεία έχει έλεγχο συστήματος αρχείων, μπορείς να το χρησιμοποιήσεις για να δεις πια αρχεία έχουν αλλοιωθεί. Σε συμβουλεύω να κάνεις αναβάθμιση σε Elxis 4.x.

Το Elxis 4 το εγκαθιστάς και το ξεχνάς, είναι πολύ ασφαλής και αυτό οφείλεται σε κάποιους πολύ βασικούς λόγους:

1. Ο κώδικας είναι σχεδόν εξολοκλήρου δικός μας, τα αρχεια τρίτων είναι ελάχιστα. Οι hackers ψάχνουν για γνωστές ευπάθειες σε βιβλιοθήκες που χρησιμοποιούνται ευρέως.
2. Δεν έχεις πρόσβαση από το δημόσιο τμήμα σε τίποτα. Μόνο να δεις μπορείς.
3. Η διαχείριση είναι κρυμμένη και τα αρχεία της ενοποιημένα με αυτά του δημόσιου τμήματος. Πρέπει να κάνεις πρώτα login στην διαχείριση για να επιτεθείς σε οτιδήποτε εκεί.
4. Δεν μοιάζει στη δομή στο joomla οπότε επιθέσεις προς joomla site δεν πιάνουν στο Elxis 4.x.
5. Έχει πολύ καλύτερο Defender.
6. Έχει πολύ σύγχρονο και καλογραμμένο κώδικα.
7. Έχει ισχυρή κρυπτογράφηση και απαραβίαστα password.
8. Παίρνεις πολύ εύκολα Backup μέσα από τη διαχείριση.
9. File manager υπάρχει μόνο στη διαχείριση και αυτός με περιορισμένη πρόσβαση (μόνο σε συγκεκριμένους φακέλους, πχ "media").
10. Όλες οι φόρμες χρησιμοποιούν tokens για αποφυγή επιθέσεων cross-site-scripting (XSS)
11. Ότι προέρχεται από τον χρήστη (πχ υποβολή φορμών) ελέγχεται εξονυχιστικά.
12. Δεν επιτρέπει javascript cookies.
13. Το σύστημα routing ελέγχει όλες τις url που ζητούνται και αν κάτι δεν είναι σωστό σε βγάζει σε exit page.

[webgift]

Αυτά που περιγράφονται ως θέμα ασφαλείας για το 4.x δεν μπορούν να αποτελέσουν κάτι απόλυτο και πάλι όταν μιλάμε για
shared φιλοξενία. Μπορεί στην ιστοσελίδα μου να χρησιμοποιώ τις πιο σύνθετες τεχνικές ασφαλείας άλλα οι άλλες ιστοσελίδες
να μην έχουν αναβαθμιστεί και να περιέχουν γνωστές ευπάθειες [1] σε αυτούς που ασχολούνται. Αποκτάς πρόσβαση στον
διακομιστή; Τότε θα επηρεαστεί και η ιστοσελίδα μου.

Το ιδανικό θα ήταν να έχεις ένα μηχάνημα με όλες τις ιστοσελίδες σε Elxis και κατά προτίμηση την νέα σειρά. Το κακό είναι ότι
εταιρείες φιλοξενίας, πόσο δε μάλιστα στην Ελλάδα, δεν γνωρίζουν το Elxis οπότε θεωρούν ότι χρησιμοποιήσεις παρωχημένη
έκδοση.

Η ομάδα έχει αποδείξει ότι σε περίπτωση ευπάθειας παλιάς έκδοσης είναι εδώ να την διορθώσει άμεσα σε περίπτωση που
αποδεδειγμένα βρεθεί κάτι. Οπότε αυτό που αναζητείτε, έρχομαι στα λεγόμενα της 1ης απάντησης είναι να βρεθεί η πηγή
του προβλήματος και να διορθωθεί όχι το αποτέλεσμα.

[1]: http://el.wikipedia.org/wiki/%CE%95%CF%85%CF%80%CE%AC%CE%B8%CE%B5%CE%B9%CE%B5%CF%82_Web_%CE%95%CF%86%CE%B1%CF%81%CE%BC%CE%BF%CE%B3%CF%8E%CE%BD

[ROUBOS]

Θέλω να κάνω αναβάθμιση σε Elxis 4, αλλά δεν είναι απλό. Κάνει ετσι απλά upgrade;
Θα πρέπει να φτιάξω καινούργιο template, (σκεφτόμουν να το κάνω με bootstrap και να βάλω τον απαραίτητο κώδικα του elxis) αλλα τί γίνεται με την βάση δεδομένων;

[webgift]

Μιλάμε για 2 διαφορετικά πράγματα. Μπορείς να χρησιμοποιήσεις τον μετατροπέα [1] άλλα αυτό από μόνο του δεν θα σου
φτιάξει την ιστοσελίδα. Θέλεις νέο template ή τροποποίηση υπάρχοντος για να το προσαρμόσεις σε αυτό που είχες. Ο
μετατροπέας θα σου μεταφέρει τα δεδομένα που είχες απλά στην νέα έκδοση. Τα υπόλοιπα πρέπει να τα κάνεις μόνος σου.

Πριν οποιαδήποτε κίνηση ελέγχεις αν υπάρχουν οι επεκτάσεις που χρησιμοποιούσες στην παλαιά σειρά διαθέσιμα και στην
νέα.


[1]: https://www.elxis.net/el/edc/miscellaneous/57.html

[ROUBOS]

Ευχαριστώ για το σύνδεσμο. Θα ασχοληθώ τον άλλο μήνα γιατί βρίσκομαι στην Αυστραλία. Με ενδιαφέρει πολύ ιδικά για μία συγκεκριμένη ιστοσελίδα που έχει μεγάλη κίνηση.