Zainfekowany hosting

[s_matysik]

Witam

Mam na jednym hostingu problem od około półtora tygodnia. Coś infekuje mi wszystkie wordpressy.

w nagłówku w pliku header nadpisuje się taki kod

 

do tego szybko musze to usuwać, gdyż na jednej stronie gdzie nie usunąłem w porę zaczęły pojawiać się linki do produktów valium i poszedł cały wordpress tak że musiałem zaintalować na nowo. Przykład strony jak pojawiają się linki gdy kod nie zostanie usunięty

https://www.laulemdeveloppement.com/wp-admin/
https://www.laulemdeveloppement.com/services/

gdy usunąłem ten kod ze wszystkich stron pojawił się znów nastepnego dnia

na wordpressach gdzie mam zaintalowany prosty motyw landing page, gdzie nie ma osobnego pliku header kod nie pojawia się

 

na ftp zauważyłem że siedzi to w każdym standardowym motywie, tak więc oprócz tego że usunałem z każdej strony ten kod to też że wszytskich wp na hostingu usunąłem dodatkowe motywy 

przez tydzień nie było już z tym problemu, a dzis znów kod zaczął pojawiać się i nie wiem jak sobie z tym poradzić

 

ma ktoś jakiś pomysł jak temu zaradzić?

będą wdzięczny za każdą pomoc

 

[mcmagik]

ma ktoś jakiś pomysł jak temu zaradzić?

 

Przede wszystkim włączyć łamanie kodu zanim się go wklei bo rozp*erdolił wątek.

 

A po drugie - kupić skórki a nie używać tych "darmowych". 

[s_matysik]

 

 

nie używać tych "darmowych".

nie używam tych "darmowych" używałem tam darmowych instalowanych z wordpressa, nie pobierałem żadnych torrentów czy coś

najgorzej że ten kod infekuje wszytskie strony na wordpressie na tym hostingu i nie wiem jak się tego pozbyć

[mcmagik]

druga opcja: "legalny" Total Commander
trzecia opcja: filezilla

czwarta opcja: zapisane hasła do ftp

[jimmi]

mogą być dziurawe pluginy a także szablony oficjalne także

ostatnie info o pluginach

https://www.wordfence.com/blog/2016/03/backdoored-wordpress-plugin-vuln-roundup/

[Carnagge]

Ogólnie musisz wszystko wyczyścić z kodu, update wszystkiego do najnowszej wersji i zmiana wszystkich haseł do mysql / ftp / konta na hostingu.

[s_matysik]

jak pojawiły się włamy zmieniłem hasło i nie zapisuję już

 

najgorszy problem to jak się tego pozbyć bo pojawia sie to na każdej stronie 

 

zmieniłem hasła, zrobiłem update

[Carnagge]

Jeszcze jedno - sprawdź pliki. Jak to jest wordpress to najlepiej usuń wszystko i wgraj na nowo. Kiedyś miałem taki włam i był wrzucony plik .php włamywacza i przez to w kółko dodawał. Również często dopisują coś w różnych innych plikach pobocznych, często w skryptach javy. Dlatego najlepiej wszystko wgrać od nowa.

[s_matysik]

 

 

Jak to jest wordpress to najlepiej usuń wszystko i wgraj na nowo.

strona wp gdzie prawdopodobnie była luka i tam poszedł ten włam (w zasadzie tam aż 2 różne włamy były)  usunąłem i zaintalowałem na nowo, ale dalej pojawia się to na wszytskich stronach

 

czyli jedyny sposób to usunąć wszystkie wordpressy i zaintalować na nowo? bo trochę tego jest ;/

[Jacek J.]

 

 

 

Jak to jest wordpress to najlepiej usuń wszystko i wgraj na nowo.

strona wp gdzie prawdopodobnie była luka i tam poszedł ten włam (w zasadzie tam aż 2 różne włamy były)  usunąłem i zaintalowałem na nowo, ale dalej pojawia się to na wszytskich stronach

 

czyli jedyny sposób to usunąć wszystkie wordpressy i zaintalować na nowo? bo trochę tego jest ;/

 

 

Bzdura, pozbądź się przyczyny, a nie eliminujesz jedynie skutki. Wgranie czystej wersji Wordpressa to jedynie chwilowe rozwiązanie problemu. Znajdź pliki zainfekowane, po nich szukaj przyczyny infekcji. Jeśli nie wiesz jak to zrobić odezwij się na Priv. 

[s_matysik]

no właśnie nie wiem jak to znaleźć i całkiem usunąć, bo usunąłem ten kod ze wszytskich motywów ale nadal się odnawia

niestety gdy próbuję wysłać do Ciebie wiadomość pisze "Użytkownik Jacek J. nie może otrzymywać nowych wiadomości"

[Carnagge]

Ale może okazać się, że nie da się namierzyć łatwo przyczyny - np. w pluginie jest luka przez którą ktoś ma dostęp do ftp i może wrzucać pliki - tworzy więc swój plik php i go ukrywa gdzieś głęboko w jakimś katalogu - nawet innej domeny i z tego plikuje infekuje od wewnątrz inne pliki. I teraz szukaj wiatru w polu. Może być tak, że infekcja nie jest w ogóle z tej strony z WP tylko z innej, a skrypt jedynie infekuje znalezione na koncie WP.

[Jacek J.]

Użyj SSH jak masz i przez konsole kolejno zapuść komendy, pisane na szybko i jak wyrzucisz z nich --exclude=*.js to będą też sprawdzały pliki JS. Tylko to tylko część i najbardziej popularne wzorce i nie każdy znaleziony plik będzie zaifekowany, ale pozwoli Ci to namierzyć większość:

 

egrep -r -i --exclude=*.js "globals" * >globals

egrep -r -i --exclude=*.js "eval\(" * >eval

egrep -r -i --exclude=*.js "eval \(" * >eval2

egrep -r -i --exclude=*.js "base64_decode" * >base

egrep -r -i --exclude=*.js "filesman" * >filesman

egrep -r -i --exclude=*.js "scandir" * >scandir

egrep -r -i --exclude=*.js "edoced_46esab" * >edoced

egrep -r -i --exclude=*.js "esab" * >edoced1

egrep -r -i --exclude=*.js "preg_replace" * >preg_replace

egrep -r -i --exclude=*.js "move_uploaded_file" * >move_uploaded_file

egrep -r -i --exclude=*.js "_FILES" * >files

egrep -r -i --exclude=*.js "decrypt_phase" * >decrypt_phase

egrep -r -i --exclude=*.js "32*2" * >decrypt_phase

egrep -r -i -E --exclude=*.js "base.*code" * >decrypt_phase

egrep -r -i --exclude=*.js "str_rot13" * >rot13

egrep -r -i --exclude=*.js "eval.*base" * >decrypt_phase1

 

Jeśli sobie nie poradzisz bądź nie masz SSH to napisz na Skype: jacekjagusiak

[mghost.pl]

Odezwij się na PW, pomogę

[jimmi]

tak przy okazji ktoś się "bawił" taką wtyczką ?

https://www.php-welt.net/really-static/

tworzy statyczne strony w wp, a przy zmianach sama moze uploadować nową wersję