Éppen egy hete érkezett az első jelzés a Google-tól, hogy rosszindulató szoftver található a WP-Suli tanfolyamaihoz adott gyakorló oldalon, a pagony.net-en. Természetesen azonnal utánajártam, hogy mi történhetett, de legnagyobb meglepetésemre semmiféle fertőzést nem találtam az oldalon.

A különös az volt, hogy nem minden számítógép, sőt egy számítógépen belül sem minden böngésző jelezte a veszélyforrást, és ezekben az esetekben semmiféle következetesség nem volt. Ennek a meglepő ténynek utánajárva kiderült, hogy a Google veszély-listáját nem minden böngésző, és nem is minden vírusirtó veszi figyelembe, tehát ha véletlenül előfordulna, hogy a Google tévesen riaszt, akkor lesznek olyanok, akik látni fogják a riasztást, és lesznek olyanok, akik nem…

A tárhelyet mindenféle szempontból vizsgáltuk, teszteltük napokon keresztül, a szerver rootkit-ellenőrzése teljesen tiszta állapotot mutatott – lásd itt:

[10:07:17] Rootkit checks…
[10:07:17] Rootkits checked : 242
[10:07:17] Possible rootkits: 0

– és már a Google saját rendszere is azt jelezte, hogy “Has this site hosted malware? No, this site has not hosted malicious software over the past 90 days.” – azaz az elmúlt 90 napban nem volt féreg az oldalon…

Én végig azt nem értettem, hogy hogyan kerülhetett volna fel bármi is, amikor látom, hogy az összes fájl dátuma július 15-i, vagy előbbi (nem számítva a bővítmények frissítését, de azok is egyező dátumúak voltak). Lehetséges volna, hogy egy féreg minden látható nyom nélkül pusztít?! Letöltöttem a tárhely teljes tartalmát, és az adatbázist is sql formátumban, hátha oda került be valami valahogyan (bár ez már a sci-fi kategória…), és offline ellenőriztem, de eredmény nélkül.

Közben többször megnéztem a pagony.net oldal forráskódját kívülről, a böngészőből, hogy hátha észreveszek valami gyanúsat. Pénteken kaptam egy ötletet: a Google az egyik közleményében azt írta, hogy ha egy oldal kódjában más keresőmotorra való hivatkozást talál, akkor azt az oldalt tiltani fogja… Nem túl kedves részükről, ilyenkor látszik, hogy mennyire függünk a Nagy Testvértől… viszont rákeresve a yahoo szóra, végül is az egyik ismerősöm oldalán tényleg megtaláltunk egy rosszindulatú kódot.

Ez a kód a wp-settings.php fájlba írta be magát, és a módosítás jól látható volt a tárhelyen, ha felmentünk FTP-vel, hiszen a fájl dátuma november 3. volt, a mérete pedig az eredeti 9 839 helyett 10 005 byte. A fájlt törölve és felülírva a rosszindulatú script a forráskódból eltűnt, és a weboldal tiszta lett.

A pagony.net-en azonban továbbra sem találtam semmi ilyesmit.

Viszont a Google által külön megjelölt egyik gyakorló oldal forráskódjában igen!

Ettől egy kicsit ideges lettem. Hogy lehetséges az, hogy a főoldalban nincs rosszindulatú script, az egyik aloldalban viszont van?! Hiszen az aloldalak felhasználóinak nincs FTP-hozzáférésük, kizárólag szövegeket és képeket tölthetnek fel a gépükről. Lehetséges volna, hogy ezek közül valamivel ment fel a script?… Én nem tudom, ilyen szinten már nem értek a vírusokhoz…

Végső ötletként mindent újratelepítettem, az adatbázisra ráengedtem egy javítást, és érdekes módon a láthatóan fertőzött aloldalak forráskódjából eltűnt a rosszindulató script. A pagony.net állapota jelenleg a következő (a http://sitecheck.sucuri.net/scanner/ tesztje alapján):

 

A pagony.net jelenlegi állapota

 

Azaz rosszindulatú szoftver és bármi egyéb veszélyforrás nem található, a webhely azonban továbbra is feketelistán van. Mivel már kértem a felülvizsgálatot, innentől kezdve csak a Google-on múlik, hogy mikor vesznek le a tiltólistájukról…

Mindenkinek köszönöm a rengeteg segítséget, együttérzést és türelmet, amit ezen a meglehetősen szörnyű héten kaptam. Remélem, most már hamarosan mindenhol rendeződik a probléma, azaz mindenki be fog tudni lépni a gyakorló oldalakra ijesztő üzenetek nélkül.