Bogár

Vírus (nem covid)


Mna…ma egy érdekes, eddig még nem látott vírussal bakalódtam!

WordPress esetén vannak bizonyos standard filok, amiről az ember már egy idő után tudja, hogy helyén vannak vagy sem. Azonnal találtam pár “szépséget”… Ebben a jó az, hogy nem muszáj tudni, hogy mi van benne, azonnal látszik, hogy ez nagyon gáz. Ez a példány azért volt jóval gázabb mint a többi, mert ezt még a Total Commander se tudja rendesen keresni… Avagy hmm hogy is mondjam, hiába szedtem ki részleteket ebből a kód akármiből a sok összevissza ékezetes karakter már megnehezítette, hogy esetleg megtaláljam az összest.  Afféle vagy nem volt, vagy volt, de soha nem fogom megtudni, mert nincs, hogy egyenként megnézzek közel százezer filet… amiben bárhol lehet ilyen.  (katt, hogy nézzétek meg nagyban milyen csicsás :D)

na de ezen vírus érdekessége nem is ez volt: hanem, hogy mikor letöröltem a fő index.php file-t, az rögtön visszaíródott és a jogosultságok átálltak 444-re. Mindegy volt, hogy honnan törlőm, mire megint oda néztem ott volt a bestia.

Ennek a file-nak nem kéne ekkorának lennie, semmiképpen nem 32800 Byte  alig 405 byte körül van!!!

A megoldást végül ez hozta:

The code added to the main index page of WordPress was telling PHP-FPM to rebuild the file from it’s cache if it was changed.

1. To remove or edit the file, you first need to disable PHP-FPM.
2. Change or remove the index.php file.
3. Then you can restart PHP-FPM and start doing normal work on the site.

From here.
https://wordpress.org/support/topic/hacked-index-php-file-with-444-permissions-wont-stay-changed/

Itt olvasható több a jelenségről:

700,000 WordPress Users Affected by Zero-Day Vulnerability in File Manager Plugin

A támadás felülete a Worpress File Manager pluginja volt 🙂

Amit szerencsére nem én installoztam fel a  bizonyos honlapra… hanem ugyanazok a balfasz józsik akik az alap témát módosították…

Összefoglalóként: a jelenség tünetei ezek voltak:

Japanese Seo hijack,  a google Structural Data Testing Tool mindenféle japán karaktert mutatott a honlapon. Az egész ügy úgy kezdődött, hogy a Google Search console valami hibákat jelzett és ezt próbáltam megfejteni. Amikor megláttam a japán karaktereket már tudtam, hogy itt máshol kell keresgélni…

Wordfence scan talált kb 9 nem oda való filet.

index.php extra kódot tartalmazott, törlés után rögtön regenerálódott, és a file permissions, azonnal visszaállt 444-re (644-ről)

A szerver memóriájában volt a bibi “elraktározódva”, a pucolás és újra indítás után lehetett csak letörölni az utolsó filet is.

0

Szívószál VS. Toner


Érdekes, hogy a szívószál esete mekkora média hype lett, de valahogy senkinek nem akar eszébe jutni, hogy a tonerrel kezdjen valamit.  Bezzeg az én időmben másak voltam még a tonerek… mert akkoriban rendelkeztek egy kis dugóval, és nem volt rajtuk chip sem, így többször (sokszor) újra lehetett őket tölteni toner porral vagy tintával, nyomtató típustól függően. Aztán jött egy kapzsi cég… nem is tudom már melyik, Hp, Epson, Canon, Xerox??? és kitalálták, hogy ők nyerészkedhetnek sokkal jobban a chippezet tonnerrel, tintával és akkor de jó, mert az ember kénytelen kidobni a régit és megvenni az újat.   

 

Ez egy incuri pincuri kis chip, 2cm x 1cm, ami szépen számolja, hogy hány lap volt nyomtatva és mikor elér az adott számhoz, bumm a toner “kifogy”. Lófaszt kifogy, mert nem fogy az ki azonnal, és nem mindegy, hogy mennyit és mit nyomtatsz, nem mindegy, hogy full szöveget vagy fél oldalakkal használja el az ember a “lapszámot”. Régen, a chipmentes időben a nyomtatók nem “instant” fogytak ki, hanem előbb elkezdett halványulni a nyomtatott betű, majd hosszanti még halványabb csíkok jelentek meg, amit  egy jó ideig orvosolni lehetett egy alapos toner rázogatással. Mikor már ez sem segített az ügyön, ideje volt újra tölteni (kis flakonból port tölteni egy dugóval védett lyukba! ó) és a nyomtatás mehetett tovább. Kevés volt az olyan agyon használt nyomtató amiben az egész alkatrészt cserélni  kellett azonnal! Évekig bírták.

Várom azokat a napokat mikor jön majd az első cég aki “megreformálja” a nyomtatást azzal, hogy jééééé a mi cégünk chipmentes tonnert árul, a környezetvédelem nevében és tessék, itt van ez a kis papír tasak festék, ezen a kis lyukon töltsd be ha halványulni kezd az írás. Persze tudom, hogy lehet nagyon öreg leszek mire valaki ezt a megoldást felfedezi!!!

0