• Rozwiązano CamillusAugustus

    (@camillusaugustus)


    Witajcie

    Dzisiaj odkryłem włamanie na swoim WP. 🙁

    Zacząłem od sprawdzania ostatnio zmodyfikowanych plików. W głównym folderze znalazłem jakiś MAILDIR? Czy można do bezpiecznie wykasować?

    W logach zainfekowanej strony znalazłem coś logi z dzisiejszego dnia chociaż się nie logowałem i plik z taką nazwą: Jul-2013.tar.gz

    Dodało mi spamerskie komentarze do postów. 🙁 A do mojego byłego informatyka backup wysłał informacje o tym, że zmienił hasło z powodu włamania. Co robić? Trochę czytałem w innych postach, ale nie do końca rozumiem o co chodzi.

    Czy skasowanie tego maildir i wszystkich plików edytowanych dzisiaj wystarczy?

    Czytałem również, że nie powinno się zapisywać hasła w ftp. to prawda? A co z takimi programami jak Lastpass.

    Podczas logowania pojawia się taka inormacja: Warning: Cannot modify header information – headers already sent by (output started at /home/kamcio/domains/effortlessenglishclub.pl/public_html/wp-content/plugins/email-me/emailme.php:1) in /home/kamcio/domains/effortlessenglishclub.pl/public_html/wp-includes/pluggable.php on line 876

    Ktoś rozumie coś z tego?

    Z góy dziękuje za pomoc.

Viewing 8 replies - 1 through 8 (of 8 total)
  • Tutaj opisałem sposób postępowania w przypadku infekcji http://pl.forums.wordpress.org/topic/zlosliwe-oprogramowanie – poczytaj, może dowiesz się kilku rzeczy.

    Co do kasowanie – nie wiem co w nich jest, trudno więc powiedzieć tak czy nie.

    Tak, hasła nie powinno się nigdzie zapisywać/zapamiętywać, gdzie jest trzymane w sposób jawny.

    Może to być spowodowane błędem wtyczki lub efekt infekcji ….zdezaktywuj wtyczkę email-me.

    Thread Starter CamillusAugustus

    (@camillusaugustus)

    Gdy to zrobisz, kasujesz katalogi wp-admin i wp-includes, w ich miejsce wrzucasz świeże ich kopie z ostatniej paczki wordpressa.
    Czy w ten sposób nie skasuje sobie postów? Rozumiem, że mam je potem wgrać z backupu.

    Jeżeli znajdziesz jakieś pliki z „niespodzianką” – odnotuj czasy ich modyfikacji – przyda się to do sprawdzenia w logach dostępu serwera w jaki sposób doszło do infekcji.
    Znalazłem takie pliki i jedna jest niby wtyczką. Chchiałem to usunąć, ale nie mogę przez ftp. Jak to usunąć?

    posty są trzymane w bazie danych a motywy, wtyczki i zazwyczaj grafiki/załączniki w katalogu wp-content – tego więc nie podmieniasz.
    W wp-admin i wp-includes zaś są jedynie pliki samego wordpressa, dlatego też możesz je skasować i wrzucić ich świeże kopie z paczki.

    Z usunięciem przez FTP nie powinno być problemu.
    Co do wtyczek, te najlepiej pokasować a wrzucić świeże kopie pobrane z repozytorium http://wordpress.org/plugins/

    Z motywami jest gorsza sprawa, bo jeżeli były modyfikowane – musisz je dokładnie sprawdzić. Jeżeli zaś nie były modyfikowane – również możesz usunąć i wrzucić świeżą kopię motywu z paczki.

    Najprościej jest, jeżeli masz backup całej strony, wówczas całość przywracasz z kopii zapasowej.

    Thread Starter CamillusAugustus

    (@camillusaugustus)

    Dzięki za odpowiedź. Właśnie w tym problem, że nie mogę usunąć tych plików, a podejrzewam, że to ich sprawka. Jak to usunąć inaczej niż prawy i delete?

    Może dlatego, że nie masz uprawnień? …bo to np. nie robak, którego się spodziewasz a elementy systemowe? maildir sugerowało by pocztę, a ten drugi wygląda jak statystyki lub backup.

    Thread Starter CamillusAugustus

    (@camillusaugustus)

    a wiesz, że możliwe.

    Dzień wcześniej ustawiałem back up na maile i to może jest właśnie to.

    Akurat mam back up z 22 czerwca tylko czy jego przywrócenie nie skasuje mi postów i co ważne ustawień wtyczki wordpressseo. Jak skopiuje cały plik z ftp to zachwam te ustawienia?

    To już zależy tylko od tego, czy backup jest pełny.

    Thread Starter CamillusAugustus

    (@camillusaugustus)

    Dziękuje za pomoc. Jako tako mi się udało, aczkolwiek wtyczki przestały mi działać i muszę je ustawiać ponownie. Dobrze, ze zrobiłem kopię. Temat chyba zamknięty.

Viewing 8 replies - 1 through 8 (of 8 total)
  • Temat ‘Maildir i włamanie’ jest zamknięty na nowe odpowiedzi.