Skocz do zawartości

Strona po ataku hakerskim


grzendi
 Udostępnij

Rekomendowane odpowiedzi

Witam,

 

Ostatnio mój znajomy zgłosił mi że jego strona ma w wynikach google chińskie-japońskie wyniki w ilość ok. 281 000 - brak wyników w języku polski. Poczytałem trochę w internecie okazuje się że to atak hakerski, który prawdopodobnie trwał 2-3mc. Strona jest oparta o aktualny CMS Wordpress. W związku z zaistniałą sytuacją wszystkie pliki została usunięte z serwera i została wgrana czysta wersja strony. Zostały też zmieniona baza danych, loginy i hasła podobnie do FTP. Pytanie moje jest takie, gdyż w Search Console w "Problemy dotyczące bezpieczeństwa" znowu zostały odnalezione jakieś linki z datą 14.10.16 po wykonaniu wgrania czystej kopii strony. Jak poprawnie pozbyć się tych wyników w Google oraz ewentualnego złośliwego kodu ze strony, gdyż wydawało mi się że zmiana haseł loginów, nazwy bazy danych i wgranie czystej wersji pomoże.....

 

Z góry dziękuje za jakieś podpowiedzi....

 

Odnośnik do komentarza
Udostępnij na innych stronach

było już parę razy, wgraj jeszcze raz wszystko od początku... zrób aktualizację. 

wgraj jakiś plugin monitorujące typu worldfence czy coś podobnego.

Bardzo możliwe że wgrałeś już z  virusem backup... albo masz kod w szablonie czy jakimś pluginie.

 

jak już rzeczywiście wszystko wyczyścić, wgraj nową mapę strony tylko ze stronami, które powinny być.

dymna.jpg

Przyjaźń psa na całe życie. ZAGINĄŁ DOM

Odnośnik do komentarza
Udostępnij na innych stronach

Istotna jest też jakość hostingu na którym trzymasz tą stronę, wielu osom wydaje się, że wezmą najtańszy i będzie dobrze. A potem okazuje się, że pojawiają się problemy jak ten powyżej. 

Zadaj znajomemu pytanie czy używa wtyczek czy szablonów nulled, bo to jest druga przyczyna problem ze stroną. 

Poszukaj nietypowych plików dla WP które prawdopodobnie znajdują się na serwerze. 

Niestety prawda jest taka, jeśli korzysta z nulled to najlepszym sposobem jest postawienie od nowa i nie korzystanie z takich rozwiązań. 

Moja pierwsza aplikacja na iOS - Zysk z faktury VAT ;)

Apple = mac-world.pl

Odnośnik do komentarza
Udostępnij na innych stronach

Zainstalowane plugin to tylko

  • columns-for-bootstrap
  • contact-form-7
  • eu-cookie-law
  • font-awesome-4-menus
  • google-sitemap-generator

Sprawdziłem kod strony i wydaje się być bez zmian, zrobiłem to kilka razy. Komputer z którego wrzucałem stronę ma antywirusa (wykupionego, nie jakieś free). Szablon strony jest wykonany w Bootstrapie.

A wyników w google przybywa. Tak wyglądają problemy dot. bezpieczeństwa w search console, linki które powstały 14.11 są po niby czystym wgraniu strony. Hosting Superhost, wydaje się spoko, chociaż strasznie męczą z obciążeniem procesora - dość irytujące.

6avd8zk2.jpg

Edytowane przez grzendi
Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli nie robiłeś ostatnio żadnych aktualizacji (samego wordpressa czy pluginów) przejrzyj katalogi wordpressa (np. wp-admin, wp-includes) na swoim serwerze, posortuj pliki po dacie modyfikacji i przyjrzyj się bliżej plikom php które były ostatnio modyfikowane. Porównaj je z plikami "czystego" wordpressa w tej samej wersji. Może zauważysz coś nietypowego.

Prosty program do fakturowania: finansis.pl/faktury

Odnośnik do komentarza
Udostępnij na innych stronach

1) Sprawdź jaką masz wersję WP

2) Pobierz identyczną wersję WP z repozytorium Wordpressa

3) Wywal ze swojej strony wszystko zostawiając tylko folder wp-content i plik wp-config.php

4) Sprawdź wp-config.php czy nie ma doklejonego syfu, jeśli nie potrafisz - skorzystaj z przykładowego pliku konfiguracyjnego i przekopiuj dane dostyczące połączenia z bazą jak i wgrać świeże linie z salt. 

5) Dograj z oryginalnej kopi foldery wp-admin, wp-includes plus pozostałe brakujace pliki w lokalizacji tam gdzie wp-config.php

6) Wyeksportuj ustawienia z contact-form-7 i zapamiętaj pozostałe ustawienia dla innych wtyczek.

7) Odinstaluj wtyczki

8) Zainstaluj wtyczki ustawiając je na nowo, a do contact-form-7 importuj wcześniej eksportowane ustawienia.

9) Przejdź do folderu uploads w wp-content i wgraj plik .htaccess blokujący wykonywanie plików php, ustaw mu chmod na 444 

10) Plik identyczny (htaccess) wrzuć do folderu languages, pomimo że jest tam plik php to za dużo nie popsujesz, dodatkowo sprawdź ręcznie może sam coś wyłapiesz, ale skoro nie masz doświadczenia to zastosuj ten plik. 

11) Zrób podwójne logowanie, pamiętaj aby chronić też plik wp-login.php ale zezwalaj jednocześnie na dostęp do pliku wp-ajax.php. 

12) Jeśli nie korzystasz to całkiem usun xmlrpc.php albo w htaccess zablokuj każdemu dostępu do tego pliku i zezwól jedynie dla swojego IP.

13) Usiądź i módl się, abyś wszystko zrobił poprawnie i to wystarczyło, więcej samodzielnie nie zrobisz bo zapewne coś rozwalisz;)

14) Sprawdź czy nie masz niepożądanych gości w tabeli wp-user

15) Dodaj stronę z wersją www i bez www do GSC i sprawdź kto jest zweryfikowany, nie znasz to wywal, cofnij weryfikacje i włącz powiadomienia e-mail

16) W GSC sprawdź mapę strony, czy oby na pewno jest właściwa.

17) Ponownie siadasz, rozkładasz ołtarzyk i modlisz się, abyś był skuteczny i monitorujesz logi, możesz na stronę wrzucić zdjęcie Pawłowicz, aby odstraszało potencjalnych włamywaczy.  

18) Zrezygnuj z superhost - to wielka pomyłka;)

19) Czas zadbać o backupy

 

Jeśli wszystko zrobiłeś jak wyżej to jest 50% szans, że zostawiłeś jakiś syf, więc użyj umysłu i palców do przeklikania miejsc, których nie sprawdzałeś, posprawdzaj pliki itp. 

 

Jeśli jesteś pewien, że Ci się udało to obudź się i bądź czujny bo za kilka dni zbudzisz się z ręką w nocniku ;) Ale ogólnie bądź dobrej myśli. 

 

Na koniec, nie wiesz co było powodem ataku (włamu) analiza logów jest niezbędna i to sporo wstecz polecam. Nie wiesz antywirusom bo to co Cię spotkało to tylko potocznie nazwano wirusami ;) Więc to że masz takiego czy srakiego antywirusa nie sprawia, że zbawisz znajomego od złego. Wywal wszystkie konta FTP, pozmieniaj dostępy, osoby które korzystają z FTP niech skanują kompa czymś na malware, a najlepiej korzystajcie z SSH, a sorki, to superhost, więc zmień hosting, byle nie na nazwę, linux czy broń boże home.pl. 

 

Zainstalowane plugin to tylko

  • columns-for-bootstrap
  • contact-form-7
  • eu-cookie-law
  • font-awesome-4-menus
  • google-sitemap-generator

Sprawdziłem kod strony i wydaje się być bez zmian, zrobiłem to kilka razy. Komputer z którego wrzucałem stronę ma antywirusa (wykupionego, nie jakieś free). Szablon strony jest wykonany w Bootstrapie.

A wyników w google przybywa. Tak wyglądają problemy dot. bezpieczeństwa w search console, linki które powstały 14.11 są po niby czystym wgraniu strony. Hosting Superhost, wydaje się spoko, chociaż strasznie męczą z obciążeniem procesora - dość irytujące.

 

 

Edytowane przez Jacek J.
  • Like 1

Zapraszam także na mojego bloga Jacek Jagusiak. Oferuje także usługę odwirusowania stron www jak i serwerów.

Odnośnik do komentarza
Udostępnij na innych stronach


Możesz wyjaśnić dlaczego? 

 

Ano dlatego, że przechowywane hasła są jako plaintext. Jeśli ktoś chce lub naprawdę musi jej używać to najlepiej wyłączyć opcję przechowywania haseł. Jest też wiele wątków o tym, że FileZilla to po prostu sam w sobie malware. Oczywiście to tylko moje zdanie które ugruntowałem sobie na podstawie obcowania (krótkiego, ale jednak) z tym programem i z informacji jakie znaleźć można w sieci. 

Moja pierwsza aplikacja na iOS - Zysk z faktury VAT ;)

Apple = mac-world.pl

Odnośnik do komentarza
Udostępnij na innych stronach


Oczywiście to tylko moje zdanie które ugruntowałem sobie na podstawie obcowania (krótkiego, ale jednak) z tym programem i z informacji jakie znaleźć można w sieci.

 

Widzisz, krótko obcowałeś i masz błędną ocenę. Nie opieraj się też na informacjach z sieci.

Jeśli masz kiepska ochronę komputera (lub wcale jej nie masz) przed wirusami i innym badziewiem to tak masz. Należy stosować podstawowe wymogi bezpieczeństwa a nie będziesz miał żadnych problemów.


Problemem z włamaniami na strony zrobione w oparciu o popularne CMSy nie jest klient ftp a dziurawe modyfikacje i szablony pobierane z różnych źródeł.

Odnośnik do komentarza
Udostępnij na innych stronach

Ano dlatego, że przechowywane hasła są jako plaintext

 

Ano jak zapisujesz hasła do obojętnie jakiego softu, to czekaj "gości".

o ile mnie pamięć nie myli, hasła w FileZilli są szyfrowane

Oczywiście, że szyfrowane. Ale i tak polecam notatnik i długopis, lub teczka i wydrukowane listy a4 z danymi do hostów. Nie ma tego aż tak dużo.

  • Like 1
Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności