Problem z wordpressem.. nagminny spam

[Dexieco 6]

Witajcie, mam problem z wordpressem. mianowicie,

mam WP i theme firmness w wersji darmowej i co jakiś czas musze reinstalować WP ponieważ "coś" wysyła mi spam za pośrednictwem php .. Komunikat z panelu

 

 

The most common path that the messages were sent from is /home/krzysiek/domains/icfactory/public_html/wp-content/themes/firmness/fonts

Już nie mam pomysłu jak się przed tym bronić..jak to zabezpieczyć..

w katalogu fonts mam plik dirs.php po otworzeniu wyskakują same krzaczki..

Ktoś coś doradzi ?

 

Edytowano Marzec 9, 2016 przez Dexieco (zobacz historię edycji)

[bybunny 540]

Ewidentnie ten plik nie należy do theme ani do samego wordpress. Wpisz sobie w google "dirs.php" a otrzymasz kilka informacji.

[Dexieco 6]

Informacje znalazłem, tylko co z tego skro mam najnowszą wersję WP, Theme przewertowałem przed wgraniem na obecność tych plików i nic nie ma, a znając życie, ten syf znowu się wgra za 2-3 dni ..

[bybunny 540]

Sam się nie wgrywa! Po pierwsze zacznij od przewertowania samej usługi hostingowej. Na ile pozwala by zabezpieczyć wordpress-a. Poradników jest miliony a samo google o ile mi wiadomo jest za darmo?! To nie wina hostingu/usługodawcy tylko elementów jakie wykorzystujesz. Często zakodowanych i upodobnionych nazwami by na pierwszy rzut oka wyglądały jak oryginalna zawartość. W tym przypadku jak twierdzisz dotyczy to theme. Ale czy na pewno? Może jakiś moduł wybrał sobie tę lokalizację na dopisanie jakiegoś syfu?

[Gość Kamikadze]

Zaktualizuj wszystko i ustaw jak najniższe chmody aby WP działało.

[dawidryba11 4]

Jakich pluginow / modułów używasz? Wszystko z pewnych źródeł? Pamiętaj, że jak gdzieś znajdziesz za darmo płatną wtyczkę to jest 90% szansy infekcji.;-)

Miałem okazje usuwać złośliwy kod z szablonów płatnych pobranych z bigtheme; )

[Dexieco 6]

Ogólnie z pluginów to tylko mam akismet i woocommerce-category-slider ( wgrał się z motywem )

Sprawa jest o tyle poważniejsza że tych zainfekowanych plików jest sporo .

 

[duchu_ 1]

Na początek sprawdź sobie standardowe miejsca w których takie śmieci się umieszcza. Zacząłbym od header.php, potem functions.php ostatnio miałem do czynienie z podobnym przypadkkiem to okazało się, że w wp-includes/nav-menu.php kilka perełek było ukrytych.

 

Sprawdź też htaccess pod kątem nieautoryzowanych wpisów. Mozesz też wykorzystać darmową wtyczkę która potrafi w dość prosty sposób zobrazować gdzie możesz mieć problemy, a nazywa się Anti-Malware Security and Brute-Force Firewall

 

Jak już uda Ci się ogarnąć temat to proponuję ustawić chmody 555 dla plików WP powinno w zupełności wystarczyć.

[behemoth 230]

Zainstaluj wordfence, w opcjach zaznacz skanowanie plików szablonu i skanuj.

[dawidryba11 4]

Moim zdaniem najlepszym sposobem jest zrzucenie pliki szablonu (na początek) na dysk lokalny i szukanie frazami - polecam total commander.

 

Jak nic nie znajdziesz to ściągnięcie oryginalnej wersji szablonu / backup b.starego niezainfekowanego szablonu i lecisz z porównywaniem plików. Jak tu będzie niepowodzenie to cóż... nurkujesz w kodzie każdego pliku. :-P

[duchu_ 1]

Zainstaluj wordfence, w opcjach zaznacz skanowanie plików szablonu i skanuj.

 

Wordfence czesto gesto daje wyniki false positive. Ale oczywiscie do ogolnego obrazu sytuacji mozna go uzyc

 

Moim zdaniem najlepszym sposobem jest zrzucenie pliki szablonu (na początek) na dysk lokalny i szukanie frazami - polecam total commander.

 

Jak nic nie znajdziesz to ściągnięcie oryginalnej wersji szablonu / backup b.starego niezainfekowanego szablonu i lecisz z porównywaniem plików. Jak tu będzie niepowodzenie to cóż... nurkujesz w kodzie każdego pliku. :-P

 

Mozna tez nadpisac wszystkie pliki i katalogi poza wp-content, wtedy zobaczysz czy problem lezy po stronie WP czy moze dodatkow

[behemoth 230]

Ale daje też fajną funkcjonalność - możliwość porównania plików z ich oryginałami z repozytorium.

[Dexieco 6]

Skorzystałem z pluginu podanego przez @duchu_

Ogólnie wymiękam.. czysta instancja WP i szablonu ze strony producenta, czysta baza danych.. 20 minut i pojawiają się pliki które są odpowiedzialne za ten syf.. Ogólnie wywaliłem kilka JS-ów które podpowiedziała wtyczka oczyściłem z plików i popodmieniałem chmody.

Teraz jak się pojawi syf to chyba pomoże tylko przebudowa strony na inny theme.. mam na tym samym koncie jeszcze kilka instancji WP i tam nie ma problemów.

Jeszcze brałem pod uwagę darmowy szablon, zakupiłem go do wersji PRO i czekamy.

Edytowano Marzec 10, 2016 przez Dexieco (zobacz historię edycji)

[blfr 225]

A nie masz innych aplikacji na tym samym koncie? Zmieniłeś hasło do konta u swojego dostawcy?

[Mekon 6]

To może być kwestia wtyczek lub czegokolwiek, co tworzy Tobie za każdym razem ten plik .php. To co wszyscy piszą jest jak najbardziej ok - podstawowe uszczelnienie wordpressa + ewentualnie jakaś stale rezydująca wtyczka do kontroli.

 

Można jednak prościej, znacznie prościej na ten przypadek. Wystarczy abyś utworzył w podanym katalogu plik .htaccessa i dodał w nim:

<Files *.php>
deny from all
</Files>

Bo zakładam, że w tym folderze znajdują się innego typu pliki typu jakieś fonty i ewentualnie obrazki. Te 3 linijki powinny załatwić sprawę tego konkretnego przypadku. Jednak pozostaje kwestia co odpowiada za to - zrewiduj zainstalowane wtyczki.

[dawidryba11 4]

A kolega w ogóle hasło do admina/ftp/sql zmienił? To taka podstawowa czynność po ataku. Czysta instalacja wp? Wiec to nie on, sprawdź pliki wtyczek i templatki.

[Bartosz Z 236]

Tomku, odezwij się w wolnej chwili na wiadomości prywatnej
Niedawno walczyłem z podobnym problemem i może mógłbym pomóc.

[Dexieco 6]

A kolega w ogóle hasło do admina/ftp/sql zmienił? To taka podstawowa czynność po ataku. Czysta instalacja wp? Wiec to nie on, sprawdź pliki wtyczek i templatki.

 

Tak hasła pozmieniane, do FTP inne i do admina inne i do mysql też inne.. już nawet /wp-admin założone na hasło przez .htaccess . Narazie mam spokój. Zobaczymy na jak długo .