stania.info

Wordpress - ciągła infekcja pomysły?

Rekomendowane odpowiedzi

zobaczysz co będzie się dziać.
to nie jest tylko jeden include, na 100% masz w paru innych miejscach także.


dymna.jpg

Przyjaźń psa na całe życie. ZAGINĄŁ DOM

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 jak chcesz, na pewno spamu już nie wyśle tą drogą bo jego kod jest zmieniony na log

 

zmodyfikuj log by narastał jak chcesz obserwowac

<?php 

$fp = fopen('mallwarelog.txt', 'a+');
fwrite($fp, date('Y-m-d H:i:s').PHP_EOL); // czas
fwrite($fp, $_SERVER['REQUEST_URI'].PHP_EOL); // to jest twoja dziura
fwrite($fp, serialize($_POST).PHP_EOL); // to do przejrzenia
fwrite($fp, serialize($_GET).PHP_EOL); // to do przejrzenia
fclose($fp);
exit();

e:/ eeee pisałem z palca nie w+ a a+

Edytowane przez kayman

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Spytaj obecnego dostawcę, czy może przeskanować wszystkie Twoje katalogi public_html maldetem i poproś o raport.

Od biedy możesz też ustawić flagę immutable na wszystkie pliki w public_html i zdejmować ją na czas aktualizacji WP i pluginów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
2 godziny temu, swits.pl napisał:

Od biedy możesz też ustawić flagę immutable na wszystkie pliki w public_html i zdejmować ją na czas aktualizacji WP i pluginów.

Możesz coś więcej napisać o fladze?

serwis ze względów bezpieczeństwa przeniosłem na host niskobudżetowy (gbzl), gdzie mam dostęp do DirectAdmin (bez SSH),

boję się go przenosić na konto, które mam u Ciebie aby nie infekował innych stron.

 

Wcześniej na linuxpl infekował inne domeny (separacja za pomocą open_basedir w niczym nie pomagała dalej infekował inne strony w /domains)


Czym się zajmuję: Tworzenie sklepów internetowych, projektowanie responsywnych stron www.
Polecam również dobry Katalog Firm, który nigdy nie będzie śmieciową farmą linków.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

https://pl.wikipedia.org/wiki/Chattr zwłaszcza podpunkt:

i - uniemożliwia wykonywanie operacji na pliku (edycja, zmiana nazwy, kasowanie, tworzenie dowiązań) wszystkim użytkownikom systemu - także superużytkownikowi (root). Opcja ta może być ustawiana lub zdejmowana przez roota.
 

Możesz poprosić admina o wykonanie takiej operacji. Dzięki temu nie ma możliwości edycji już istniejących plików.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Dnia 15.12.2017 o 11:21, swits.pl napisał:

https://pl.wikipedia.org/wiki/Chattr zwłaszcza podpunkt:

i - uniemożliwia wykonywanie operacji na pliku (edycja, zmiana nazwy, kasowanie, tworzenie dowiązań) wszystkim użytkownikom systemu - także superużytkownikowi (root). Opcja ta może być ustawiana lub zdejmowana przez roota.
 

Możesz poprosić admina o wykonanie takiej operacji. Dzięki temu nie ma możliwości edycji już istniejących plików.

 

Dziękuję za info oczywiście nie ma takiej opcji (lub nie chce im się), 

kwestę hosta odrzucam, drugi wordpress na tym samym koncie stoi sztywnie nie tknięty (jak by hindusi upodobali sobie tą domenę)

 

@kayman  Dziękuję za świetny pomysł - wgrałem totalnie czystego wordpressa na tą domenę, bez wtyczek z instalacyjną bazą danych, po 2 godzinach widzę w logach:  seki zapytań

POST /wp-includes/images/saseursl.php

Patrzę po FTP, a jak plik istnieje choć godzinę temu wywaliłem do zera konto i wgrałem czystego wordpress-a (najnowszego 4,91) - jakim cudem w wp-includes pojawił się ten plik?

  • Hosting odrzucam (zainfekowany byłby inny wordpress na tym samym koncie)
  • Wina po mojej stronie? Jaka używam aktualnej fileZilla (mam zapisanych kilka hostów i tylko z tą jedną domeną mam problem)
  • Komputer chroniony Comodo antywirusem (free co prawda)

Głupieje powoli.

 

// Edit ciekawa sytuacja

na FTP edytuję plik notatnikiem (wp-settings.php) i  widzę zakodowany php na początku pliku

w NetBeans ściągam plik i tego doklejonego kodu nie widzę. Ciekawe rzeczy

Edytowane przez stania.info

Czym się zajmuję: Tworzenie sklepów internetowych, projektowanie responsywnych stron www.
Polecam również dobry Katalog Firm, który nigdy nie będzie śmieciową farmą linków.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

z tego co wiem to dostałeś ofertę pomocy na PW, warto skorzystać z darmowej pomocy


dymna.jpg

Przyjaźń psa na całe życie. ZAGINĄŁ DOM

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
14 godzin temu, jimmi napisał:

z tego co wiem to dostałeś ofertę pomocy na PW, warto skorzystać z darmowej pomocy

Tak, zgadza się  kolega mrjozo zaproponował pomoc.
Strona na obecną chwilę czysta - jeżeli infekcja powróci skorzystam.

Dałem restrykcyjne CHMOD-y na wp-content/plugins (555)

wp-config.php (600)

+ wszystkie rozwiązania z linku

http://mojeprogramy.com/zabezpieczenie-wordpress#konfiguracja-wp-config

 


Czym się zajmuję: Tworzenie sklepów internetowych, projektowanie responsywnych stron www.
Polecam również dobry Katalog Firm, który nigdy nie będzie śmieciową farmą linków.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się


  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.