Хакнат WP - бял екран или изтрити файлове (2 пъти за седмица)

jmb

Member
Обречена кауза е това, ако е важен сайта си плати ако не трий направо.
Тая работа не става със съвети о форуми от рандом юзъри, губене на време

Аз искам да си платя, но не знам кой от форума се занимава с това.
 

Станимир И

Well-Known Member
Привет, видях какво си поснал от .hta и се вижда дори какво е направил хакера. Всичко идва от webshell, ясно се вижда about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php.


Поздрави,
Станимир И
 

mid

Active Member
Най-адекватно може да ти помогне s1yf0x

Оправял съм преди време много хакнати сайтове, обаче в последно време от толкова много задачи нямам време за нищо иначе на драго сърце бих ти помогнал.

Това което е добре да се направи е да отвориш файла да прегледаш кода и да проследиш пътя на атаката и както казаха колегите заключи инсталацията с htaccess при apache, litepseed или с подходяща директива ако ползваш nginx

и си изолирай инсталацията от другите продукти, вземи някаква basic виртуалка от hetzner за 2-3 евро - качи там заразеното за да можеш да го споделяш да ти помагат и други хора.
 

mid

Active Member
и спри да ползваш споделен хостинг, а от бг хостинг vps бягай много бързо защото са с огрмона надценка без особено голямо покритие.

От Българските доставчици единствено delta.bg са ми правили добро впечатление, другите са стандартни които просто препродават с огромна надцека, но това е друга тема.
 

jmb

Member
и спри да ползваш споделен хостинг, а от бг хостинг vps бягай много бързо защото са с огрмона надценка без особено голямо покритие.

От Българските доставчици единствено delta.bg са ми правили добро впечатление, другите са стандартни които просто препродават с огромна надцека, но това е друга тема.

Този споделен го ползвам за няколко слаби сайта иначе съм на ВПС.

Все още го мъча проблема, видях какво е инсталирано и къде (ако не бъркам, разбира се)
 

$INeed$

Well-Known Member
Този споделен го ползвам за няколко слаби сайта иначе съм на ВПС.

Все още го мъча проблема, видях какво е инсталирано и къде (ако не бъркам, разбира се)
Ако са тези, за които се сещам, те това си им е навик. Мине не мине време, и аре ела на супер офертата. Случва се. Колкото за пробива, не мисля, че е хостинга. Нали нямаш някакви "много изгодни" теми и плъгини, качени от някой. Аз бих почнал от там. Ако имаш поне малко съмнение за нещо там - направо махай. И си направи на ново процедурата с почистването. Виж това с ъпдейта вече си е причина да се поогледаш за някакви алтернативи. Но си оправи бакиите, че никой няма да е много хепи с такъв клиент. ;)
 

Blinky

Owner
Обречена кауза е това, ако е важен сайта си плати ако не трий направо.
Тая работа не става със съвети о форуми от рандом юзъри, губене на време
Все си мислех, че сме се събрали малко над евиридж нивото, и че форума е точно такова място да се помогне в тази насока. А защо не и да се намери някой със заплащане да удари рамо. :) Хората си излекуваха дезиизите в бг мама, пък тук няма да успеем един WP да изчистим. :)
 

jmb

Member
Ако са тези, за които се сещам, те това си им е навик. Мине не мине време, и аре ела на супер офертата. Случва се. Колкото за пробива, не мисля, че е хостинга. Нали нямаш някакви "много изгодни" теми и плъгини, качени от някой. Аз бих почнал от там. Ако имаш поне малко съмнение за нещо там - направо махай. И си направи на ново процедурата с почистването. Виж това с ъпдейта вече си е причина да се поогледаш за някакви алтернативи. Но си оправи бакиите, че никой няма да е много хепи с такъв клиент. ;)

Нямам нулнати неща в него.

реално това което се случва е редактиране на htaccess при зареждане на сайта.
Ако го изтриеш - създава го с техният код.
Ако го редактираш и опиташ да заредиш сайта - редактира го пак с техният код.
Сменявах от 644 на 444 и пак си е същото.

Успях да направя сайтовете да зареждат, обаче нищо не мога да правя в админ панела.

Колкото до изтриването, не знам колко би било ефективно, защото направих нова инсталация на УП и веднага беше заразена.
Изтрил съм всички неща, прегледал съм ръчно всеки файл.
Сайта е ударен с FOX C404, което открих в папките.

Реално записва във всяка директория едни и същи файлове и е мармалад.
Какъвто и сайт да сложиш (нов; импорт и т.н) - автоматично го заразява.
 

jmb

Member
Привет, видях какво си поснал от .hta и се вижда дори какво е направил хакера. Всичко идва от webshell, ясно се вижда about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php.


Поздрави,
Станимир И
Да, намерих FOX C404 , лошото е че не знам как да го оправя това с htaccess
 

Sky

Well-Known Member
Все си мислех, че сме се събрали малко над евиридж нивото, и че форума е точно такова място да се помогне в тази насока. А защо не и да се намери някой със заплащане да удари рамо. :) Хората си излекуваха дезиизите в бг мама, пък тук няма да успеем един WP да изчистим. :)
Тая работа не става така със съвети, особено ако отсреща на са наясно.
@jmb ако сайта не е супер мега гига таен можеш да ми пратиш данни да го погледна
 

Blinky

Owner
Тая работа не става така със съвети, особено ако отсреща на са наясно.
@jmb ако сайта не е супер мега гига таен можеш да ми пратиш данни да го погледна
Да Прав си Става с работа и анализ по него. Тук малко гадаем, но споделяме какво може да е от опита си. Пак е нещо.
 

jmb

Member
Тая работа не става така със съвети, особено ако отсреща на са наясно.
@jmb ако сайта не е супер мега гига таен можеш да ми пратиш данни да го погледна
Не е таен разбира се.
Изпращам го на ЛС, за да не правя реклама.
 

mid

Active Member
Или ми прати един tar + sql за да си го инсталирам аз на някой забутана виртуалка и да го изчистя там
 

mid

Active Member
Този споделен го ползвам за няколко слаби сайта иначе съм на ВПС.

Все още го мъча проблема, видях какво е инсталирано и къде (ако не бъркам, разбира се)
И все пак, хетзнер за 20лв. на месец може да вземеш много читава виртуалка за всичките ти слаби, а управлението можеш да утилизираш с някой cloud panel достатъчно добри са

https://www.vepp.com/ и други, много са, проучи с Google

Зарежи всичките традиционни доставчици с техните балъшки приказки, взимаш виртуалка минаваш през клауд панел мейлите ги прекарваш мрез mxroute или g-suite както ти е по-изгодно и спираш да имаш проблеми и да се занимаваш с евтини решения които накрая ти излизат по-скъпи.
 

jmb

Member
Оправих се с проблема.

Това което го разреши беше следното:

1. Изтегляне на файловете и базите.
- сканиране, почистване.
2. Изтриване на файловете от хостинга.
3. Качване на почистените файлове и бази.

Установих, че имаше във всяка папка файлове и неща, които да се изпълняват.

Наистина БЛАГОДАРЯ на всички, които писаха и искаха да помогнат !
Този форум е №1 !
 

Горе