Malware? vagy mi az oldalamon

Security-all

Sziasztok!
Bocs ha nem a jó helyen kérdezem, de első ijedségemben nem jutott jobb eszembe.
Van egy oldalam amit feketelistára tett a google, mert, hogy vírusos.
-Az oldalon a legújabb worpress fut Wordfence -vel.
-Az eltávolított vírusok folyamatosan újra megjelenek.
-Elképesztő forgalmam van japánból.
Aztán ez az oldal:
https://aw-snap.info/utilities/gen-spam-queries.php?url=http%3A%2F%2Fha…
segített, hogy még jobban elképedjek:
https://www.google.hu/?gws_rd=cr&ei=fFhNV5PmEYXp6AT-qKXQDQ#q=site:http:…
Ezek az oldalak vagy aloldalak nem is léteznek az oldalamon. Bekapcsoltam, hogy lássam a rejtett könyvtárakat is, de semmi.
Tudnátok segíteni, hogy hogyan tovább?
Köszi
Kalvi

  • 1702 megtekintés

( hawk | 2016. 05. 31., k – 11:51 )

Kezd ott, hogy
1. lekapcsolod az oldalt (főkönyvtár átnevez, stb)
1/2. Letöltöd az egész forráskódot mindenestül ha csak FTP-n tudsz matatni
2. elkezdesz a forráskódban keresni .JPG|.PNG|.GIF kiterjesztésű fájlokban "<?php" kódokat
3. .PHP kiterjesztésekben elkezdesz keresgélni "eval("|system( parancsok után
4. megnézed az utóbbi 1-2 hétben milyen új fájl került fel a tárhelyre már ha hozzáférsz linux szinten (find -type f -ctime -[NAPOKSZÁMA])
5. access logokban megnézed milyen furcsaságok vannak és az alapján megkeresed a fájlokat
6. ha nem boldogulsz keresel valakit, aki már látott ilyet
Ha nagyon nincs az ismerőseid közt ilyen akkor irj PM nekem

Mivel elosztott tárhelyen vagy így elég sok oka lehet.
Láttam már olyat is, hogy a szerver üzemeltetője bekapcsolva hagyta a "userdir"
apache kiterjesztést és a szemfüles hacker 1 tárhelyet feltörve a szerveren
lévő 600+ domain-t használta a terjesztésre.

pl: kispiroska az user aminek a tárhelyét feltörték és
elhelyeztek egy kispiroska.xyz/spam123/valami.html tartalmat
Majd ezt a linket így forgatta ki:
http://domain1.hu/~kispiroska/spam123/valami.html
http://domain2.hu/~kispiroska/spam123/valami.html
http://domain999.hu/~kispiroska/spam123/valami.html

Persze ezen kívül van még a légpuskától a mikulásik jópár technika, ami szembejött velem.

( andrej_ v | 2016. 05. 31., k – 11:51 )

- Mi a pontos verzió a wp-includes/version.php szerint?
- A korábbi WP-kből nem maradtak fent bőségesen mindenféle felszemetelt PHP file-ok? Különösen a wp-content alatt?
- Minden plugin is frissítve van?
- A korábbi WP-kből nem maradtak fent mindenféle hozzászólások, illetve nincs trükkös .htaccess file-od?

A wp-includes/version.php tartalma:

<?php
/**
* The WordPress version string
*
* @global string $wp_version
*/
$wp_version = '4.5.2';

/**
* Holds the WordPress DB revision, increments when changes are made to the WordPress DB schema.
*
* @global int $wp_db_version
*/
$wp_db_version = 36686;

/**
* Holds the TinyMCE version
*
* @global string $tinymce_version
*/
$tinymce_version = '4310-20160418';

/**
* Holds the required PHP version
*
* @global string $required_php_version
*/
$required_php_version = '5.2.4';

/**
* Holds the required MySQL version
*
* @global string $required_mysql_version
*/
$required_mysql_version = '5.0';

$wp_local_package = 'hu_HU';

( kalvi | 2016. 06. 01., sze – 09:07 )

...ellenörzés folyamatban.

Esetleg el tudnátok mondani, hogy milyen webhosting-ot érdemes választani? Vagy ajánlanátok valakit akivel kapcsolatban pozitív tapasztalatotok van. Olyannak aki egyébként tök hülye ezekhez dolgokhoz.

Ahol az oldalam most van PHP 5.2.17-t van. De a legtöbb CMS ennél már magasabb sorozatszámú PHP-t igényel. A wordpress még el fut ezen, de azt olvastam, hogy ez csak egy jófejség tőlük..

Köszi

Én megpróbálnám átnézni az access.log-ot, ha hozzáférsz és, hoogy a wordpress/pluginjai up-to-date-ek-e (igazából visszatölteném a backupot, ha van, mert jó esély van rá, hogy egy-két wordpress fileba is elhelyeztek meglepit :))

Ha nincs backup akkor mtime alapján átnézném mi változott.

- nem valószínű, hogy PHP bugon keresztül mentek be az oldaladra
csilliárdnyi wordpress bug van jobban mondva f*sul megírt vagy már
eleve backdooral megírt plugin/ingyenes téma.... stb...stb...stb

- valószínűleg a mostani szolgáltatód is tud számodra biztosítani frissebb PHP-val
rendelkező tárhelyet de ha törhető a wordpressed akkor mitsemér a friss PHP

( Chas | 2016. 06. 01., sze – 10:53 )

Szia!
Esélyes, hogy nálad is az a probléma, ami nálunk volt egy joomla rendszernél, úgy alakította át az egyik php fájlodat a támadó, hogy csak a googlebot useragent kapja meg azokat. Én a googlebot stringre kerestem rá, és a gyári php fájlokat is át kell nézni. Olyat keress, ahol a googlebot elválasztás után nagyon sok space/tab van, mert annak a sornak a végén lesz a forrás kiszolgáló, ahonnan az oldalra feltúrt szövegeket veszi a te szervered/oldalad.
Valamint az eval(gzinflate(base64_decode(' stringekre is érdemes rákeresni (de cak úgy, hogy más is lehet közte, mert mostanában azt sem egyben írják össze, hanem televágják változózással).