Atak wirusa na stronę opartą na wordpressie

[Bird]

Mam pewien problem, jedną moją stronę opartą na wordpressie zaatakował wirus i utworzył kilkaset podstron z treścią i linkami do viagry. Podstrony zostały zaindeksowane przez google i mają formę np: www.przykładowadomena.pl/?page=buy-viagra-500. Wirus i wszystkie wygenerowane podstrony zostały usunięte, ale nadal w indeksie pozostało kilkaset podstron. Jak można je usunąć z indeksu? Będę wdzięczny za pomoc.

[Grey Ronin]

Klasycznie support.google.com/webmasters/bin/answer.py?hl=pl&answer=156449&ctx=cb&src=cb&cbid=v4zdq37ahibn

[jurand]

Mam ten sam problem @Bird, moją stronę działającą na wordpressie zaatakował wirus, który utworzył podstrony reklamujące viagrę. Strona jest w trakcie przenoszenia na nową domenę i serwer, ale ze względu na ogromną zawartość merytoryczną i dużą ilość zdjęć nie mogę sobie pozwolić na budowani strony od nowa. @Bird w jaki sposób udało ci się usunąć tego wirusa?

[euPe]

Polecam plugin Wordfence i roboty ręczne Jak znajdziecie kod i jest powtarzalny to Notepad++ i funkcja znajdź i zamień w plikach.

[Patrykc]

U mnie w wordpressach dawno syfu nie było, ale generalnie najczęściej (jeśli dobrze pamiętam) mi dopisywało do:

- .htaccess (lub tworzyło htaccessa jak go nie było)

- plików szablonu

- wp-load.php

- wp-blog-header.php

Proponowałbym pobrać wszystkie pliki wordpressa na dysk i odpalić jakąś wyszukiwarkę np z total commandera. Poszukiwać należy ciągów znaków "base64", "eval" "<script" i ".ru". Tyle celem upewnienia się że nie wróci.

Jeśli zaś chodzi o prewencję to najskuteczniejsze rozwiązania prewencyjne to ustawienie tym plikom praw tylko do odczytu przez wszystkich. Po wysprzątaniu i zabezpieczeniu dalej widziałem w logach podejrzane próby odwołań do tych plików ale nic złego się nie działo. Wadą tego rozwiązania jest brak możliwości automatycznej aktualizacji.

[euPe]

90% syfu dostaje się przez FTP. Filezilla czy TC przechowują hasła do FTP na dysku, nie zaszyfrowane (FileZilla w XML Oo). Byle robal, których jest tysiące jak ci się dostanie pobiera te dane i dodaje syf do kodu na stronach(czy to .htaccess czy do innych plików).

Wordpress jest bardzo podatny na tego typu ataki bo jest bardzo popularny i ma grom dodatków.

Pierwsza zasada przy prowadzeiniu stron to bezpieczeństwo haseł, jeśli korzystasz z popularnych darmowych klientów FTP to lepiej poczytaj o tym jak przechowywane i zabezpieczane są loginy i hasła do kont.

Jak na razie odkąd przesiadłem się na FireFTP+hasło główne do firefox + Malwarebytes Antimalware w systeimie brak syfu typu <iFrame..

[Pan Maciej]

Dokładnie tak jak pisze euPe - uważaj na wszelkiego rodzaju darmówki typu Total Commander. Tutaj jest największe niebezpieczeństwo że złapiesz jakiegoś "syfa". Zdarzyło mi się to raz i mam nadzieję, że więcej się nie zdarzy (Total Commander=> out)

[pitrazzz]

Trochę odgrzebię temat ale może komuś się przyda. Ostatnio znalazłem złośliwy kod w pliku wp-includes/template-loader.php

[duchu0]

Najczęściej jest tak, że w plikach core WP znajdują skrypty które generują te wszystkie szkodliwe linki.Niestety ale samo usunięcie tego kodu nic nie da, bo gdzies w instalacji jest plik php który za chwilę znowu podmieni kod. Dlatego najlepszym rozwiązaniem jest pobranie strony na dysk, jeśli macie jakieś antywirusy to też mogą wam w tym pomoć bo będą krzyczeć, że znalazły wirusa. Potem przeglądanie katalogu po katalogu i szukanie plików które nie pasują do struktury WP, przy okazji można też patrzyć na daty modyfikacji plików z WP. 

Oczywiście można też się wspierać Wordfence który potrafi nakierować na problem. 

[arecki71]

Warto wydać parę groszy na strażnika a nie opierać się tylko na darmowych wtyczkach dobry hosting też ma znaczenie poinformują cię szybciej niż googlas że coś jest na rzeczy a i tak większość włamań na wp jest wynikiem myślenia że wszystko jest za darmo i prosto  

[Mion]

wynikiem myślenia że wszystko jest za darmo i prosto

Lub całkowitego nie pomyślenia że to co jest za darmo może być w tym celu własnie udostępnione by kiedyś to wykorzystać jako kon trojański

[Aleksiejs]

Do najczęstszych powodów dodałbym jeszcze nieaktualizowanie wp (lub innego cms), wtyczek i szablonów  

[duchu0]

Warto wydać parę groszy na strażnika a nie opierać się tylko na darmowych wtyczkach

 

Czyli darmowy WF to malware ale płatny już nie  ? Ewentualnie może podaj co według Ciebie jest godne uwagi, bo takie puste frazesy nic nikomu nie powiedzą. Co do licz to najczęstszą przyczyna się brak aktualizacji WP, potem dopiero są pluginy i szablony. 

 

Lub całkowitego nie pomyślenia że to co jest za darmo może być w tym celu własnie udostępnione by kiedyś to wykorzystać jako kon trojański

 

Podasz jakiś przykład ? 

[euPe]

Korzystanie z popularnych motywów, pluginów na Wordpress (także płatnych np.  Revolution Slider) niesie ze sobą duże ryzyko złapania złośliwego kodu. Tego typu cele są najbardziej atrakcyjne do zarażenia bo przynoszą duże korzyści. Bieżące, natychmiastowe aktualizacje są kluczowe do minimalizowania złapania infekcji tego typu softu. Niestety, często właśnie ich brakuje, głównie ze względu na cebuleniu na szablonach. 

 

O ściąganiu i instalowaniu czegokolwiek z "nulled" chyba nie muszę pisać 

 

Formularze kontaktowe z możliwością przesłania czegokolwiek (załączniki) to również zły pomysł. 

 

Uważnie dobierajcie klienta FTP i sprawdzajcie jak przechowuje zapisane dane dostępowe na dysku. Tutaj polecam FireFTP do firefoxa.

 

 

Do czyszczenia strony na Wordpress polecam:

https://wpscan.org/

notepadd++ z funkcją wyszukiwania tekstu w plikach oraz virustotal, malwarebytes antimalware do czyszczenia plików na dysku.  Po czyszczeniu jakąś wtykę do WP do wykrywania zmian plików z ignorowaniem cache. 

 

 

[blazejs]

Przy okazji wylaczcie sobie Hello Dolly. Ostatnio na jednej stronie mialem wlam przez to i zainfekowali baze jakims syfem od torrentow.