Atak na stronę internetową

[genju2]

Witam,

Mam stronę 

https://www.skupyaut.info.pl

 po wpisaniu jej w wyszukiwarkę google.pl wyskakują mi Chińskie znaki w title oraz meta tagach. Dodatkowo za indeksowane są jakieś podstrony których nie tworzyłem. Ktoś uruchomił mi jakiś automat na stronę aby zaspamować? Miał ktoś podobny problem?

[Mion]

Widać, że strona postawiona na WP, wie gdzieś jest dziura i została przejęta przez "hackera".

Może być to wina 

- skryptu, wtyczek itd;

- hostingu po przez włam  na konta ftp

- i przechwycenie twoich haseł do serwisu. 

[Finan]

Ktoś pozyskuje sobie linki na Twojej stronie, spójrz na to: https://www.skupyaut.info.pl/new-ways-that-are-bold-to-reward-achievement/

[Mion]

Nooo ktoś zrobił sobie z jego serwisu zaplecze > co widać wchodząc w google cache dla zindeksowanych stron 

Nie wykluczone, że przez darmowy szablon 

[genju2]

Co w takiej sytuacji mogę zrobić? Zmiana szablonu usuniecie i zainstalowanie od nowa wtyczek?

[Mion]

Przede wszystkim należało by spróbować ustalić kanał/sposób ataku, by usunąć również przyczynę, a nie tylko skutki. 

Polecam usługi : https://www.forum.optymalizacja.com/user/41504-switspl/

[marcin89]

Zacznij od tego, że zmień na chwilę szablon na jakikolwiek inny i sprawdź czy problem występuje. Jak nie wina szablonu.

 

1. Wirusa jako takiego raczej nie ma: 

https://www.virustotal.com/pl/url/488eb027e7e076b44c034698598fb86430a846c2df5a59c21b2b821427327060/analysis/1466765207/

2. Jeśli to się zaczęło od nie dawna proponuję przywrócić backup i przeanalizować jakie poprawki/szablon, czy wtyczki instalowałeś.

 

3. Logi serwera warto przejrzeć i zmienić hasła dostępu do strony.

 

4. Możesz skontaktować się z autorem templatki: https://vpthemes.com/portfolio/modality/i zapytać o radę, ewentualnie usunąć ją, wgrać nową i zgłosić google do indeksacji, o ile to wina templatki

[genju2]

Dzięki za pomoc.

[Mion]

Możesz skontaktować się z autorem templatki:[...] i zapytać o radę

A co jak ta templatka jest specjalnie pod to zrobiona ?

Nie koniecznie musi, to być wina templatki ... Samo usuniecie skutków bez zlanezienia przyczyny nic nie da, bo "jutro" będzie miał to samo.

 

[okazwłoka]

Na szybko zerknąłem i hakerzy szukają w wp takich plików (nie mówię, że u Ciebie, ale powinieneś sprawdzić logi i pewnie coś tam znajdziesz, może akurat trafisz na plik który jest u Ciebie):

/wp-content/plugins/mm-forms-community/includes/doajaxfileupload.php
/wp-content/themes/satoshi/upload-file.php
/wp-content/uploads/sql_dump.php
/wp-content/plugins/revslider/temp/update_extract/sql_dump.php
/wp-content/themes/OptimizePress/lib/admin/media-upload.php

[genju2]

Usunę chyba całego wordpressa wszysztkie pliki. Bo widzę ze niektóre zostały zmodyfikowane wczoraj o 3 nad ranem.

Zmienię hasło do serwera do wodpressa i stronę postawię nową na innym szablonie. Tylko pytanie czy mogę zostać na tej samej bazie danych czy nie utworzyć nowej...

 

W funkcjon.php

 

początek mam :  

<?php  $O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%7 

i tak dalej leci...

[Mion]

Tylko pytanie czy mogę zostać na tej samej bazie danych czy nie utworzyć nowej...

Jeśli baza nie jest zmodyfikowana, to TAK.

Pamiętaj by nie łączyć się z nowym hostingiem po przez otwarte FTP, ale SFTP lub  FTP i SSL

[mghost.pl]

Tak, jak Mion mówi, zostań na starej bazie jeśli jest czysta, ale zmień hasło.

Przez jakiegoś php shella ktoś mógł zerknąć w plik wp-config.php

Zmień też hasła wszystkich administratorów.

[Mion]

@

genju2 

Jakiego używasz klienta FTP ? 

[genju2]

Winscp

Nie mogę się połączyć przez port 22 SFTP .