stania.info

Wordpress - ciągła infekcja pomysły?

Polecane posty

zobaczysz co będzie się dziać.
to nie jest tylko jeden include, na 100% masz w paru innych miejscach także.


dymna.jpg

Przyjaźń psa na całe życie. ZAGINĄŁ DOM

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 jak chcesz, na pewno spamu już nie wyśle tą drogą bo jego kod jest zmieniony na log

 

zmodyfikuj log by narastał jak chcesz obserwowac

<?php 

$fp = fopen('mallwarelog.txt', 'a+');
fwrite($fp, date('Y-m-d H:i:s').PHP_EOL); // czas
fwrite($fp, $_SERVER['REQUEST_URI'].PHP_EOL); // to jest twoja dziura
fwrite($fp, serialize($_POST).PHP_EOL); // to do przejrzenia
fwrite($fp, serialize($_GET).PHP_EOL); // to do przejrzenia
fclose($fp);
exit();

e:/ eeee pisałem z palca nie w+ a a+

Edytowano przez kayman

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Spytaj obecnego dostawcę, czy może przeskanować wszystkie Twoje katalogi public_html maldetem i poproś o raport.

Od biedy możesz też ustawić flagę immutable na wszystkie pliki w public_html i zdejmować ją na czas aktualizacji WP i pluginów.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
2 godziny temu, swits.pl napisał:

Od biedy możesz też ustawić flagę immutable na wszystkie pliki w public_html i zdejmować ją na czas aktualizacji WP i pluginów.

Możesz coś więcej napisać o fladze?

serwis ze względów bezpieczeństwa przeniosłem na host niskobudżetowy (gbzl), gdzie mam dostęp do DirectAdmin (bez SSH),

boję się go przenosić na konto, które mam u Ciebie aby nie infekował innych stron.

 

Wcześniej na linuxpl infekował inne domeny (separacja za pomocą open_basedir w niczym nie pomagała dalej infekował inne strony w /domains)


Czym się zajmuję: Tworzenie sklepów internetowych, projektowanie responsywnych stron www.
Polecam również dobry katalog https://znajdzfirme.org, który nigdy nie będzie śmieciową farmą linków.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

https://pl.wikipedia.org/wiki/Chattr zwłaszcza podpunkt:

i - uniemożliwia wykonywanie operacji na pliku (edycja, zmiana nazwy, kasowanie, tworzenie dowiązań) wszystkim użytkownikom systemu - także superużytkownikowi (root). Opcja ta może być ustawiana lub zdejmowana przez roota.
 

Możesz poprosić admina o wykonanie takiej operacji. Dzięki temu nie ma możliwości edycji już istniejących plików.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Dnia 15.12.2017 o 11:21, swits.pl napisał:

https://pl.wikipedia.org/wiki/Chattr zwłaszcza podpunkt:

i - uniemożliwia wykonywanie operacji na pliku (edycja, zmiana nazwy, kasowanie, tworzenie dowiązań) wszystkim użytkownikom systemu - także superużytkownikowi (root). Opcja ta może być ustawiana lub zdejmowana przez roota.
 

Możesz poprosić admina o wykonanie takiej operacji. Dzięki temu nie ma możliwości edycji już istniejących plików.

 

Dziękuję za info oczywiście nie ma takiej opcji (lub nie chce im się), 

kwestę hosta odrzucam, drugi wordpress na tym samym koncie stoi sztywnie nie tknięty (jak by hindusi upodobali sobie tą domenę)

 

@kayman  Dziękuję za świetny pomysł - wgrałem totalnie czystego wordpressa na tą domenę, bez wtyczek z instalacyjną bazą danych, po 2 godzinach widzę w logach:  seki zapytań

POST /wp-includes/images/saseursl.php

Patrzę po FTP, a jak plik istnieje choć godzinę temu wywaliłem do zera konto i wgrałem czystego wordpress-a (najnowszego 4,91) - jakim cudem w wp-includes pojawił się ten plik?

  • Hosting odrzucam (zainfekowany byłby inny wordpress na tym samym koncie)
  • Wina po mojej stronie? Jaka używam aktualnej fileZilla (mam zapisanych kilka hostów i tylko z tą jedną domeną mam problem)
  • Komputer chroniony Comodo antywirusem (free co prawda)

Głupieje powoli.

 

// Edit ciekawa sytuacja

na FTP edytuję plik notatnikiem (wp-settings.php) i  widzę zakodowany php na początku pliku

w NetBeans ściągam plik i tego doklejonego kodu nie widzę. Ciekawe rzeczy

Edytowano przez stania.info

Czym się zajmuję: Tworzenie sklepów internetowych, projektowanie responsywnych stron www.
Polecam również dobry katalog https://znajdzfirme.org, który nigdy nie będzie śmieciową farmą linków.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

z tego co wiem to dostałeś ofertę pomocy na PW, warto skorzystać z darmowej pomocy


dymna.jpg

Przyjaźń psa na całe życie. ZAGINĄŁ DOM

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
14 godzin temu, jimmi napisał:

z tego co wiem to dostałeś ofertę pomocy na PW, warto skorzystać z darmowej pomocy

Tak, zgadza się  kolega mrjozo zaproponował pomoc.
Strona na obecną chwilę czysta - jeżeli infekcja powróci skorzystam.

Dałem restrykcyjne CHMOD-y na wp-content/plugins (555)

wp-config.php (600)

+ wszystkie rozwiązania z linku

http://mojeprogramy.com/zabezpieczenie-wordpress#konfiguracja-wp-config

 


Czym się zajmuję: Tworzenie sklepów internetowych, projektowanie responsywnych stron www.
Polecam również dobry katalog https://znajdzfirme.org, który nigdy nie będzie śmieciową farmą linków.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Napisano (edytowany)

Ups suchara tu wkrecilem - no ale oze sie rzyda... :-)

Btw Autor moglby dodac odpowiedz...

 

 

Linuxpl- mam tam konta I niemam twoich objawow

 

Jesli jest czysta instalacja bez theme I wtyczek obstawiam klienta ftp

 

Inaczej to plugin albo theme 

 

Eliminuj po kolei.... 

Edytowano przez bananasltd

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wiadomo w jaki sposób doszło do infekcji ?


Jeśli rzeczywiście chcesz zaoszczędzić pieniądze na wtyczkach i motywach do WordPress oraz otrzymać roczny dostęp do najnowszej wersji Wtyczki lub Motywu do WordPress sprawdź ofertę Wphocus.com

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

  • Kto przegląda   0 użytkowników

    Brak zalogowanych użytkowników przeglądających tę stronę.