Zasyfione Wordpressy

[lament]

Nie, jak wcześnie pisałem korzystam z FileZilla. Do tego wszystkiego na konto, które zostało teraz zaatakowane nie logowałem się w ogóle od czasu wcześniejszego czyszczenia.

Mogę podpowiedzieć, że Escatmax Sylwina łapie to dziadostwo, najlepiej jak ktoś korzysta trzymać to na odrębnym koncie.

[Webmax]

Miałem podobne problemy. Zmień dla tego pliku php uprawnienia na 444.

Pozdrawiam

[Elias]

Daj linka do któregoś z serwisów - strzelam, że szablony stosują starą wersję timthumb.

A jeśli tak to co wtedy należy zrobić?

[lament]

Zacząłem właśnie to stosować, dobry sposób jednak nie sprawdza się, przy stronach statycznych, które też posiadam. W tym przypadku, przy kilkudziesięciu podstronach jednej domeny wywalanie wrzutek to jest katorga:/

[Webmax]

A mógłbyś mi powiedzieć jakie pliki są zainfekowane?

Tak dla wszystkich jeżeli chcecie mieć coś porządnego z Wordpressa to trzeba go zabezpieczyć min:

- zmieniona nazwa : panelu ADMINISTRATORA

- zmiana głównego pliku index.php na np: tajna_glowna.php

Jest jeszcze wiele mniejszych błędów w wtyczkach ale jest to zależne od wersji.

[lament]

-readme.html

-index.php (w różnych lokalizacjach)

-footer.php (w różnych lokalizacjach)

[Veal]

Na unikalny.org nie widzę timbthumb'a więc prawdopodobnie nie on jest przyczyną nieszczęść.

A jeśli tak to co wtedy należy zrobić?

W przypadku posiadania starej wersji timthumb'a (występującej w wielu szablonach wydanych przed sierpniem tego roku) należy ją zastąpić nową (po szczegóły odsyłam na https://www.binarymoon.co.uk/projects/timthumb/ oraz https://code.google.com/p/timthumb/issues/detail?id=212).

[nutado]

Obecność tego wirusa nie zależy od tego czy macie WP, czy nie. Atakuje pliki .php, oraz druga jego wersja (w .js) atakuje też pliki .html.

Wersja w .js potrafi nieco ewoluować, więc ktoś kto usuwa to jakimś skryptem z wykorzystaniem wyrażeń regularnych, musi co jakiś czas dodać nowe wzorce.

Po wyczyszczeniu plików najważniejsze to pozmieniać hasła do ftp

[Webmax]

-readme.html

-index.php (w różnych lokalizacjach)

-footer.php (w różnych lokalizacjach)

Teraz to jest niestety powszechne w sieci, pełno jest takich "drobnoustrojów". Najgorzej mają właściciele, którzy mają strony na popularnych CMS-ach - w tym wordpress

Patrz, pierwsze usuń sobie readme.html.

Na index.php i footer ustaw atrybuty 444 - już nikt Ci nie dopisze wirusa (nie zmieniają atrybutów).

Jak wspomniałem wyżej zmiana index.php jest to konieczność jeżeli chcesz mieć dobry i bezpieczny portal.

Teraz najlepiej abyś:

1. Skopiował pliki z serwera

2. Sprawdz komputer z wirusów

3. Wszystkie ściągnięte pliki sprawdził

4. Sprawdzone pliki wrzucić na serwer

5. Ponownie sprawdź komputer z wirusów

6. Zmiana hasła do FTP/BAZY/PANELU HOSTINGU

[Filemandzowy]

Też miałem ostatnio dwa przypadki - weszło po JS jak ktoś wcześniej pisał przez timthumb'a https://www.livehacking.com/tag/timthumb/ - miałem starą wersję wordpressa. Dopisało pliki na serwerze, zablokowanie strony przez hosting, wizyta SQT z Google, filtr za nietematyczne linki

Wyczyściłem, zainstalowałem od nowa (zmieniłem na skórkę bez timthumb'a), zgrałem bazę, pozmieniałem hasła do hostingu, bazy, wordpressa i wlazło ponownie po innym JS już nie pamiętam nazwy. Dopisywało kawałek kodu w head, którego nie mogłem znaleźć na serwerze. Zgranie i skanowanie antyvirem nic nie pokazywało.

Ogólnie wywaliłem wszystko bo muszę i tak odfiltrować domenę.