Проблем с вирус на wordpress сайт

[cvetin]

Здравейте, възникна ми странен проблем с един от сайтовете ми.

Wordpress, стандартна инсталация с платена тема.

Хостинг: хост бг /много коректно и бързо ме съпортнаха/

Гоогле ми показа: „Този сайт може да е променен от хакери.“

Притеснен веднага започнах процедура по почистване:

Какво направих:

1, Сканирах си компютъра с антивирусната и с malwarebites: изчисти няколко заразени файла с PUP. Optional. Crosrider файл: ontents.json Премахнах ги.
2, Изтрих целия сайт от хостинга

3, Изтрих всичко от главната директория на сървъра. Имаше три папки които не можех да изтрия останали от стара инсталация, помолих съпорта и изтриха всичко.

1. Инсталиран „начисто“ чисто нова инсталация, добавих чисто нова платена легална тема от темфорест.
   
   
2. Настрой сайта
   
   
3. Оторизирах го в Гоогле за да направят проверка с webmasters
   
   
4. Тази сутрин влизам в FTP и гледам един нов файл създаден преди часове, не от мен.
   Файла е с име: C6105E6F99793E042A91A8A7BDB41F1A.txt
   

Вътре във файла има само един ред:
489e83cdf34c55f98b38efbb2e6ccfa7e0938850comodoca.com



Ръчнах в google: никакъв резултат

Венага звъннах на съпорта и те сканираха сайта за вирус.

Писаха ми, че няма нищо обезпокоително и няма злонавреден код на сайта ми.

Мен ме притеснява от къде се е появил този файл.

Няма да ме остави без ядове това.

Чуденката ми е как и от къде се появи, след като направих всичко начисто, с нови пароли и според мен както трябва да се направи.



С удоволствие бих изслушал нечие компетентно менние, какво мога да направя.



Благодаря предварително.

 

[crazydevil]

На 2 онлайн магазина и 1 WordPress ми се появяват същите файлове със същото съдържание *comodoca.com и не успях в нета да намеря поне подобен репорт за това...

Всичко изглежда нормално, няма отклонения, но все пак какви са тези *.txt файлове, от къде идват и в бъдеще това ще създаде ли по-сериозни проблеми?

 

[Torbalan Trolski]

SSL пуснат или да си се загравал с комодо? Питай съпорта на хостинга.

 

[valve]

@cvetin Здравей, понеже съм компетентен в тези неща ти предлагам да си сложиш някой WP плъгин с защита има ги доста добри който при проблем веднага ти изпращат е-майл с всичко подробно.

 

[BurnX]

Ако имаш ссл към тези https://www.comodo.com/ , вероятно файла е автоматично генериран . Сложи на wordpress сайтовете си плъгина wordfence

 

[valve]

Ако имаш ссл към тези https://www.comodo.com/ , вероятно файла е автоматично генериран . Сложи на wordpress сайтовете си плъгина wordfence

Колегата @BurnX абсолютно съм съгласен с вас, аз я ползвам wordfence и е точно като за автора на темата.

 

[cvetin]

Благодаря много момчета, безкрайно благодарен съм.
Ще сложа wordfence за да съм по спокоен.
Що се отнася до ssl, не нямам на този сайт и хостинг или поне нямам спомен да съм плащал за това. Сега ще проверя за това, но тия Comodo за първи път ги виждам.
Стигам до извода, че според вас това не е вирус и ще може да кара така или?

 

[Torbalan Trolski]

Що се отнася до ssl, не нямам на този сайт и хостинг или поне нямам спомен да съм плащал за това. Сега ще проверя за това, но тия Comodo за първи път ги виждам.
Стигам до извода, че според вас това не е вирус и ще може да кара така или?

Комодо предлагат безплатни сертификати. В линка, който съм ти дал се описват начините за Domain Control Validation.

Файловете, за които говориш са точно за HTTP(S)-based DCV на комодо.

По мои спомени хост.бг бяха с някакъв техен си панел и най-вероятно системата им ги създава автоматично. Пиши им един тикет и ги питай.

Относно секюрити плъгините аз си имам собствено мнение. Ако не правиш глупости, не ти трябват изобщо

 

[s1yf0x]

Не е вирус, а верификационен файл за COMODO SSL - казаха го по-горе. Не е опсаен, но това че нямаш информация как се е появил е малко нелепо. Обикновено се слага от някой разбързал се админ, който или е объркал username-а в cPanel (често се случва да са сходни и да има само 1,2 символа разлика) - или някой автоматичен скрипт при издаването на сертификата го е снесал там. Нека хостинга да видят ctime на файла (освен ако не си го променял през ftp или file manager) и след това да сравнят ftp / sftp , cPanel access и http логовете и ще стане ясно как се е появил.

Има един лош сценарий, който съм виждал само веднъж при който беше компрометиран сайт и каването на пдообен файл беше умишлено с цел издаване на SSL сертификат, който да се използва в последствие за phishing .

Ако ситуацията е същата трябва да се направят 2 неща:

1. https://sslanalyzer.comodoca.com/ тук проверяваш дали имаш издаден SSL сертификат
2. https://secure.comodo.com/products/!SecureEmailCertificate_Revoke - тук го налулираш

ВАЖНО: Не изпадай в паника и не предприемай никакви прибързани действия преди да си на 100% сигурен, че този сертфикат, ако има издаден такъв не е поръчан от теб - свери го с хостиинга.

За WP и накачулените към него дрънкулки и дантелки има такова разнообразие от exploit-и, че Wordfence хваща само тривиалните

 

[cvetin]

Ей хора златни сте. За това го обожавам този форум.
Безкрайно благодаря.
Започвам по описаните стъпки да действам.
Хубав ден и бъдете здрави!