Fórumok
Sziasztok!
Bocs ha nem a jó helyen kérdezem, de első ijedségemben nem jutott jobb eszembe.
Van egy oldalam amit feketelistára tett a google, mert, hogy vírusos.
-Az oldalon a legújabb worpress fut Wordfence -vel.
-Az eltávolított vírusok folyamatosan újra megjelenek.
-Elképesztő forgalmam van japánból.
Aztán ez az oldal:
https://aw-snap.info/utilities/gen-spam-queries.php?url=http%3A%2F%2Fha…
segített, hogy még jobban elképedjek:
https://www.google.hu/?gws_rd=cr&ei=fFhNV5PmEYXp6AT-qKXQDQ#q=site:http:…
Ezek az oldalak vagy aloldalak nem is léteznek az oldalamon. Bekapcsoltam, hogy lássam a rejtett könyvtárakat is, de semmi.
Tudnátok segíteni, hogy hogyan tovább?
Köszi
Kalvi
Hozzászólások
Kezd ott, hogy
1. lekapcsolod az oldalt (főkönyvtár átnevez, stb)
1/2. Letöltöd az egész forráskódot mindenestül ha csak FTP-n tudsz matatni
2. elkezdesz a forráskódban keresni .JPG|.PNG|.GIF kiterjesztésű fájlokban "<?php" kódokat
3. .PHP kiterjesztésekben elkezdesz keresgélni "eval("|system( parancsok után
4. megnézed az utóbbi 1-2 hétben milyen új fájl került fel a tárhelyre már ha hozzáférsz linux szinten (find -type f -ctime -[NAPOKSZÁMA])
5. access logokban megnézed milyen furcsaságok vannak és az alapján megkeresed a fájlokat
6. ha nem boldogulsz keresel valakit, aki már látott ilyet
Ha nagyon nincs az ismerőseid közt ilyen akkor irj PM nekem
Ok. elkezdem végignézni.
Azt azért meg tudod mondani, hogy a google, hogy talált olyan oldalakat amiket én nem látok?
erre: site:http://handicraft.hu/ (jordan|"air jordan"|"new balance")
oldalam.hu/vfqgw9/mfet4490-20160311.pdf
Köszi!
Nekem 4 kérdésem volt. :) Azok közül a .htaccess -es pont ilyenre irányult.
Hja. Ok :)
Mivel elosztott tárhelyen vagy így elég sok oka lehet.
Láttam már olyat is, hogy a szerver üzemeltetője bekapcsolva hagyta a "userdir"
apache kiterjesztést és a szemfüles hacker 1 tárhelyet feltörve a szerveren
lévő 600+ domain-t használta a terjesztésre.
pl: kispiroska az user aminek a tárhelyét feltörték és
elhelyeztek egy kispiroska.xyz/spam123/valami.html tartalmat
Majd ezt a linket így forgatta ki:
http://domain1.hu/~kispiroska/spam123/valami.html
http://domain2.hu/~kispiroska/spam123/valami.html
http://domain999.hu/~kispiroska/spam123/valami.html
Persze ezen kívül van még a légpuskától a mikulásik jópár technika, ami szembejött velem.
- Mi a pontos verzió a wp-includes/version.php szerint?
- A korábbi WP-kből nem maradtak fent bőségesen mindenféle felszemetelt PHP file-ok? Különösen a wp-content alatt?
- Minden plugin is frissítve van?
- A korábbi WP-kből nem maradtak fent mindenféle hozzászólások, illetve nincs trükkös .htaccess file-od?
A wp-includes/version.php tartalma:
<?php
/**
* The WordPress version string
*
* @global string $wp_version
*/
$wp_version = '4.5.2';
/**
* Holds the WordPress DB revision, increments when changes are made to the WordPress DB schema.
*
* @global int $wp_db_version
*/
$wp_db_version = 36686;
/**
* Holds the TinyMCE version
*
* @global string $tinymce_version
*/
$tinymce_version = '4310-20160418';
/**
* Holds the required PHP version
*
* @global string $required_php_version
*/
$required_php_version = '5.2.4';
/**
* Holds the required MySQL version
*
* @global string $required_mysql_version
*/
$required_mysql_version = '5.0';
$wp_local_package = 'hu_HU';
...ellenörzés folyamatban.
Esetleg el tudnátok mondani, hogy milyen webhosting-ot érdemes választani? Vagy ajánlanátok valakit akivel kapcsolatban pozitív tapasztalatotok van. Olyannak aki egyébként tök hülye ezekhez dolgokhoz.
Ahol az oldalam most van PHP 5.2.17-t van. De a legtöbb CMS ennél már magasabb sorozatszámú PHP-t igényel. A wordpress még el fut ezen, de azt olvastam, hogy ez csak egy jófejség tőlük..
Köszi
Én először azt nézném meg, hogy jött be. (mert, ha egyszer bejött bármikor bejöhet amíg nincs fixálva :))
Egyébként tök igazad van, de ehhez kevés vagyok. Arra tudok gyanakodni, hogy telepítés és aktiválás után egy hétig semmilyen wordpress-es védelmi kiegészítőm nem volt. A honlap meg ismert volt csak lecseréltem az addigi pluck-cms -t. Na mindegy fsz voltam.
Én megpróbálnám átnézni az access.log-ot, ha hozzáférsz és, hoogy a wordpress/pluginjai up-to-date-ek-e (igazából visszatölteném a backupot, ha van, mert jó esély van rá, hogy egy-két wordpress fileba is elhelyeztek meglepit :))
Ha nincs backup akkor mtime alapján átnézném mi változott.
- nem valószínű, hogy PHP bugon keresztül mentek be az oldaladra
csilliárdnyi wordpress bug van jobban mondva f*sul megírt vagy már
eleve backdooral megírt plugin/ingyenes téma.... stb...stb...stb
- valószínűleg a mostani szolgáltatód is tud számodra biztosítani frissebb PHP-val
rendelkező tárhelyet de ha törhető a wordpressed akkor mitsemér a friss PHP
Basszus, tényleg. Ez meg sem fordult a fejemben. Csomó ingyenes kis kiegészítőt használok én is. Nyilván nem a nagyok lehetnek, de a kis bisz-basz facebook like boxok..
Thx!
Egy kollégám pontosan definiálta a wordpresst. Az egy http remote shell alkalmazás ami képes megadott html generálásra is.
Lol, zseniális. :)
http://www.bash.org/?949214
csak hogy meglegyen a forras is...
Indeed! :D
http://img.photobucket.com/albums/v251/ember_firedrake/gifs/tealcindeed…
Szia!
Esélyes, hogy nálad is az a probléma, ami nálunk volt egy joomla rendszernél, úgy alakította át az egyik php fájlodat a támadó, hogy csak a googlebot useragent kapja meg azokat. Én a googlebot stringre kerestem rá, és a gyári php fájlokat is át kell nézni. Olyat keress, ahol a googlebot elválasztás után nagyon sok space/tab van, mert annak a sornak a végén lesz a forrás kiszolgáló, ahonnan az oldalra feltúrt szövegeket veszi a te szervered/oldalad.
Valamint az eval(gzinflate(base64_decode(' stringekre is érdemes rákeresni (de cak úgy, hogy más is lehet közte, mert mostanában azt sem egyben írják össze, hanem televágják változózással).
Nála úgy tűnik hostoltak. :)
Ami például azért fordulhat elő, mert a PHP-nek van jogosultsága fájlokat írni a wwwroot (és az almappák) alá.