Wsparcie » Zaawansowane » Pliki podstron
Pliki podstron
-
Witam, mam spory problem gdyż jakiś wirus zaatakował moją stronę WordPress. Problem jest taki że muszę się dostać do plików kilku podstron by wykasować skrypty. Nie mam pojęcia gdzie tego szukać w katalogu WordPressa, ktoś może mi pomóc? PILNE
-
Jak masz zainfekowaną stronę, to musisz sprawdzić wszystkie pliki …na całym koncie hostingowym, a nie tylko 1 czy 2 pliki samego wordpressa.
No i na samym początku obowiązkowy dokładny skan kompa, reinstalka klienta ftp i zmiana hasła.Lekturka na sam poczatek:
http://codex.wordpress.org/FAQ_My_site_was_hacked
http://wordpress.org/support/topic/268083#post-1065779
http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/
http://ottopress.com/2009/hacked-wordpress-backdoors/
http://blog.sucuri.net/2012/03/wordpress-understanding-its-true-vulnerability.html
http://wiki.dreamhost.com/My_Wordpress_site_was_hackedprzydatne skanery i inne narzedzia: http://www.malwarehelp.org/freeware-open-source-commercial-website-security-tools-services-downloads.html
na koniec nieco o zabezpieczeniu wp: http://codex.wordpress.org/Hardening_WordPress
Stronę zaatakowało mi z innego komputera, na moim mam Kasperskiego.
W przeglądarce Opera jak kliknę prawym klawiszem na stronie i dam „Źródło strony” to wyświetla mi wszystko, włącznie z linijkami zaznaczonymi na czerwono, które muszę jakoś usunąć. Szukać tego w bazach danych?To, co widzisz w podglądzie źródła strony to tylko wierzchołek góry lodowej.
Możesz mieć kilka zmodyfikowanych plików, a możesz ich mieć i kilka czy kilkanaście tysięcy.Sprawdzić musisz przede wszystkim pliki, wszystkie pliki.
Na samym początku szukasz po datach modyfikacji plików – sprawdza się jezeli nie były fałszowane. Warto sobie kilka znalezionych zanotować – przyda się podczas analizy logów.
Szukasz wszystkiego co nietypowe i nie występuje w oryginalnej paczce wordpressa. Szukasz wszelkich zakodowanych fragmentów, zwracasz uwagę na wystąpienia funkcji systemowych czy funkcji typu eval, base64_decode, gzinflate, str_rot13 …
Do tego szukasz backdoorów, możesz się wspomóc tym skryptem.
Bazę danych tez warto na koniec sprawdzić.Zrobiłem tak, że całą zawartość z serwera ściągnąłem na swojego kompa, i przeskanowałem Kasperskim, wykryło mi trojana w Contact Form 7.
Zmieniłem już hasła do cpanelu, ftp, mysql. Zainstalowałem jakiegoś Antywirusa dla WordPressa. Niestety podgląd stron w bazie danych kończy się tylko na HTML treści strony. Nie widać żadnych skryptów.
Jeśli masz dobrego antywirusa to wejdź na http://www.plastykon.com i zobacz kod żródłowy strony1. to co widzisz w podglądzie strony w kodzie ma na 99% inną postać. Widzisz jedynie wynik działania skryptu
2. antywirusy tutaj nic nie pomogą, wariantów złośliwego kodu jest od groma i ciągle powstają nowe. Antywirus czasem wykryje kod wynikowy …ale źródłowego kodu szkodnika na 99% nie znajdzie.
3. widzę wariant blacole …ale jak wcześniej wspomniałem, to jedynie wynik działania złośliwego kodu.
Ty widzisz to co widzisz …a może to byc generowane przez skrypt w stylu http://pastebin.com/jCkAAXkT , http://pastebin.com/y5Hn0QQh czy bóg wie jakiego innego.
Teraz serwuje ten wariant szkodnika, za godzinę lub dwie może to być coś innego.Czyli co, najlepszym wyjściem jest wywalenie całej strony, skopiowanie tego co się da (w sensie treści) i instalacja na nowo?
Najlepszym wyjściem jest usunięcie całości i przywrócenie kopii z backupu jeżeli takowy masz.
Jeżeli nie, to zostaje:
-zlecić oczyszczenie serwera komuś, kto się na tym zna
-szukać i czyścic samemu
-albo -co jest najgorszym rozwiązaniem- zrobić to, co opisałeśChyba nie mam wyjścia i muszę wybrać to najgorsze rozwiązanie, na dobitkę dodam, że mam jeszcze 2 inne strony, które także zostały zainfekowane :/ Więc 3 strony do zrobienia od nowa 🙁 Załamka
Mimo wszystko dzięki za porady.
- Temat ‘Pliki podstron’ jest zamknięty na nowe odpowiedzi.