Etikett: varning

WordPress tema-varning

Jag fick ett infall under kv?llen och b?rjade g? igenom mina teman som jag lagt in f?r mina wordpress bloggar. Det jag var p? jakt efter var teman som inneh?llar fula l?nkar, f?rs?k att hacka min server osv.

Ett vanligt s?tt ?r att I footer.php eller functions.php l?gga in en kodad str?ng, te.x.

<?php $_F=__FILE__;$_X=’Pz4JCTxkNHYgY2wxc….MmR5Pg0KPC9odG1sPg==’;eval(base64_decode(’JF9…NDU2Jyk7JF9SPWVyZUj0wOyRfWD0wOw==’));?>

(jag har kortat ner den, egentligen ?r den drygt 9000 tecken l?ng)

Om man tar den str?ngen och avkodar den (t.ex. p?  http://www.tareeinternet.com/scripts/byterun.php s? f?r man en text som bland annat inneh?ller

<a href="http://jeuxde-casino.com/" title="jeux de casino">jeux de casino</a> by <a href="http://jeuxde-casino.com/jeux-de-casino" title="jeux de casino"><img src="<?php bloginfo(’stylesheet_directory’); ?>/images/woothemes.png" alt="jeux de casino" /></a>

Det h?r var inte s? farligt egentligen men det st?r mig att det finns kodad information I mina teman som laddas, just det h?r verkar var ett s?tt att f? trafik till en sida med reklam som I sin tur genererar pengar. Men det kunde lika g?rna ha varit en kodad str?ng som laddar ner ondskefull kod till min server.

Jag raderade 30+ teman som till stor del kom fr?n Woo Themes, te.x.

freshfolio-dev, freshnews-dev, gazette-dev, gothamnews-dev, livewire-dev, newspress-dev, openair-dev, premiumnews-dev, overeasy-dev, paalam-11, paper, pdawn-10, photog, pixeled, polaroidpress, proudfolio-dev, page-style, papercut, peaceful-rush, photon, plainscape, premiumnews-dev, pure-12, panorama, papercut-dev, pellucid-dashed, pink-tulip, poetry, primepress, purple-pastels

Om du sj?lv ?r orolig ?ver dina teman s? kan jag rekommendera ett plugin till wordpress som heter TAC (Theme Authenicity Checker) och det finns h?r http://wordpress.org/extend/plugins/tac

Det pluginet g?r ?r att scanna igenom alla teman efter suspect kod, t?nk p? att det kan finnas falska postivia tr?ffar, jag s?g t.ex. att en del teman hade en base64 funktion I contact.php. Den funktionen anv?ndes d?r f?r att koda e-postadresser s? att adresserna inte f?ngas upp av spamrobotar.. och det ?r ju bra.

Nu sover jag lite sk?nare iallafall, jag tycker att du borde se ?ver dina teman du ocks?, skadar inte och det ?r gratis Smile

Titta ?ven p? den h?r filmen, den f?rklarar en del ocks? http://weblogtoolscollection.com/archives/2010/12/10/theme-malware-anatomy/

RKHunter

Om du har satt ig?ng rkhunter p? ditt system och scannar varje natt s? kanske du sett den h?r texten i dina loggar

Warning: The file properties have changed:
        File: /bin/login
        Current hash: 1869895965de0ebab025e5b76ccfe7ff3b53905b
        Stored hash : 0ba3a17f19a617036f9aa21d064109f1834eb46f
        Current inode: 23560211    Stored inode: 23560198
        Current file modification time: 1226559073
        Stored file modification time : 1207184931

Sj?lv s? fick jag lite ?ngest och b?rjade tro att n?got kommit in i systemet 🙂 Men du beh?ver inte vara r?dd!

Jag har gjort en apt-get update/apt-get upgrade och d? har filerna f?r?ndrats och rkhunter flaggar dom som ?ndrade. F?r att l?ra rkhunter att du uppdaterat och dom nya filerna ?r ok k?r du bara kommandot

sudo rkhunter –propupd

Nu kommer du inte att f? dessa varningar (helt i on?dan) l?ngre.

Om du inte vet vad rkhunter ?r s? finns all information h?r: www.rootkit.nl/projects/rootkit_hunter.html

Varning för Do Networks

Jag vill varna f?r Do Networks och eventuella fotterbolag dom driver. Hemmanet som var ett dotterbolag sattes i dag i konkurs och ett stor antal kunder (ca 1500) blev strandsatta…  Kommentaren fr?n VD Do Hellbom var (fritt ?versatt): Kunderna, dom skiter vi i, bolaget ?r satt i konkurs s? jag kan inte g?ra n?got alls.

De ansvariga:

Do Hellbom, VD: DO Networks Sverige AB (publ)
070-777425. e-post: [email protected]

Bernth Harnesk, Styrelseordf?rande: DO Networks Sverige AB (publ)
070-5158950

Attans skitf?retag..  🙁

Varning f?r Do Networks

Jag vill varna f?r Do Networks och eventuella fotterbolag dom driver. Hemmanet som var ett dotterbolag sattes i dag i konkurs och ett stor antal kunder (ca 1500) blev strandsatta…  Kommentaren fr?n VD Do Hellbom var (fritt ?versatt): Kunderna, dom skiter vi i, bolaget ?r satt i konkurs s? jag kan inte g?ra n?got alls.

De ansvariga:

Do Hellbom, VD: DO Networks Sverige AB (publ)
070-777425. e-post: [email protected]

Bernth Harnesk, Styrelseordf?rande: DO Networks Sverige AB (publ)
070-5158950

Attans skitf?retag..  🙁

© 2022 Editio Princeps

Tema av Anders NorenUpp ↑