Atak wirusa na stronę opartą na wordpressie

[duchu0]

Do czyszczenia strony na Wordpress polecam: https://wpscan.org/notepadd++ z funkcją wyszukiwania tekstu w plikach oraz virustotal, malwarebytes antimalware do czyszczenia plików na dysku.  Po czyszczeniu jakąś wtykę do WP do wykrywania zmian plików z ignorowaniem cache. 

 

Niestety ale wydaje mi się, że to za dużo dla zwykłego użytkownika  

[yaca]

Ja u siebie w panelu serwera dodatkowo wyłączam możliwość logowania się przez ftp

[harry128]

wtyczka firewall i zmiana bazy danych, blokada rejestracji, pilnowanie aktualizacji wtyczek i samego wp - np. z poziomu serweru ustawienie opcji automatycznych aktualizacji powinno dać spokój, ew. backup zrobić i jak już jest taka sytuacja to niestety ale czyszczenie i od zera stawianie wp z backupu.

[dogtar]

Antimalwarebytes lub agresywny Bitdefender powinny starczyć bo wykrywają najnowsze wirusy po kilku dniach od pierwszego zeskanowania pliku na virustotal (czyli dystrybującym skanerze), lub przez kogos z tym antymalware kto go przeskanuje. Łącznie z Avastem, ale to antywirus, a tamte to antymalware. Takie robaki raczej są o wiele starsze, więc nie ma sie co bać. Darmowa wersja bit defendera jest na 90 dni.

[kris_goldweb]

A jakiego klienta polecacie poza tym FireFTP? 

[duchu0]

Na windows nie ma nistety nic sensownego. Możesz spróbować CyberDuck który jest portem z macOS 

[ablein]

Witam Państwa

Pozwolę sobie podpiąć się z problemem, który poruszyłem już na forum wordpressa.

 

Mam problem ze stroną, która została zainfekowana seo spam injection.

W momencie, kiedy dostałem zadanie „wyprowadzenia jej na prostą” strona miała już kilkaset/kilka tysięcy linków do stron typu torrent, podróbki butów, kasyna etc, przy czym linki były widoczne tylko dla wyszukiwarki (po wpisaniu w google site:adresstrony.pl pojawiało się ok 20000 wpisów), ponadto włamywacz dodał się jako nowy właściciel do google search console i cofnął weryfikację prawowitej właścicielce, w związku z czym nie dostała informacji o zablokowaniu wyświetlania strony w wyszukiwarkach. Jak wyglądała sytuacja po hacku:

 

• dodana tabela wp_dolly, zawierająca spamowe linki
  
• mnóstwo spamowych linków w wp_posts
  
• zmodyfikowany index.php + crontab, który przywracał zainfekowaną wersję
  
• umieszczane w różnych miejscach pliki typu wp-data.php, wp-user.php zawierające spamujące skrypty
  
• katalog temp/u zawierający tysiące plików txt z linkami w base64
  
• katalog bk_tem_bk zawierający wersję strony dla google botów
  
• setki linków w plikach txt w base64 w folderze uploads
  

Zablokowałem dostęp do FTP dla wszystkich ip z wyłączeniem mojego, zmieniłem wszystkie hasła i klucze, sprawdziłem logi (niestety, włam był starszy niż najstarsze logi na serwerze), usunąłem podejrzane pliki, zablokowałem ip, które generowały ruch do tych plików, na wszelki wypadek zablokowałem w htaccess cały ruch z Azji (większość linków była po japońsku).

Mam wrażenie, że wszystko powinno już banglać, ale… No właśnie. Google odblokowało stronę, żaden nowy syf nie pojawia się na FTP, monitoruję ruch (Wordfence + Sucuri), sprawdzam Screaming Frogiem linki i wszystko wygląda ok, a jednak po wpisaniu w google site:adresstrony.pl nadal mam tysiące spamerskich japońskich linków typu adresstrony.pl/fxc_2317_latup. Czy coś przegapiłem?

[jimmi]

@ablein,  Prześlij nową prawidłowa mapę strony do GSC. z czasem znikną nieistniejące strony.

[P@wel]

Często winne są dziurawe wtyczki ale w 75% przypadków albo nawet i dużo więcej spowodowane jest zapamiętywaniem haseł w klientach ftp.