Nowo dodani userzy o prawach admina - WordPress

[arve_lek]

Naświetlę trochę problem, bo już nie wiem co robić

 

Na początku miałem strony na różnych hostingach i często zaplecza padały atakiem hakerów, więc postanowiłem coś z tym zrobić i przenieść część zaplecza na VPS bez żadnego panelu.

 

Każda domena ma osobne konto do FTP (edit tzn. sftp),  do bazy danych. Plików nie da się edytować, więc problem z wgrywaniem przez hakerów plików php na serwer rozwiązałem skutecznie. Zablokowałem też dostęp do wp-admin, wp-login itp. mogę tylko ja się logować z konkretnych IP, wykluczyłem tym samym brute attack.

 

Problem z wysyłaniem przez hakera maili z konta też rozwiązałem przez zablokowanie portów.

 

Ostatnio pojawił się kolejny problem, a mianowicie jakimś cudem haker na większości domen na vps dodał userów o prawach admina, co ciekawe user ma maila: support@wpwhitesecurity.com

 

Nie jestem programistą, więc ciężko mi powiedzieć jakim cudem haker się włamał, więc potrzebuje jakiegoś naprowadzenia co jeszcze powinienem ulepszyć. Tutaj jedyne rozwiązanie jakie mi się nasuwa, to zrobie triggera w bazie danych, który będzie automatycznie usuwał userów z prawami admina prócz mojego. Ale to rozwiązanie nie jest idealne.

 

Czy można np. włamać się na WP i dodać usera jeżeli mam zablokowane logowanie ? Czy tylko to można zrobić przez bazę danych ? Lub może przez jakąś lukę w szablonie ?

 

Haker dodaje wpisy en z jakimiś spamowymi odnośnikami.

 

Jakieś pomysły ? Nie potrzebuję gotowego rozwiązania tylko naprowadzenia.

[Sagitario]

Może masz trojana na kompie i wykrada Ci hasła, w takim wypadku możesz sobie zmieniać hosting i hasła do konta a "haker" ma wszystko jak na tacy

[MaxPan]

Może masz trojana na kompie i wykrada Ci hasła, 

 

A gdzie tam, wtyczka ma dziurę i tyle. Przecież on jasno napisał nowy użytkownik z uprawnieniami admina a nie konto admina które dodaje doory, czy linki. Czytaj ze zrozumieniem. Kraść hasło do WP wpisywać nowego użytkownika nie miało by w tym przypadku żadnego sensu, logiczne było by dodawać jako istniejący. Po drugie w logach było by logowania admina....

Sagitario, błagam..

[SzlafRock]

Poszukaj rozwiązania na forum WordPressa.  Są tam opisane przypadki tego lub podobnego malwara.

[arve_lek]

Najpierw zrobię tego triggera, który będzie usuwał nowo dodanych userów z bazy danych. Ciężko byłoby mi zlokalizować dziury na wszystkich stronach.

 

Jeszcze takie pytanie, dodał userów np. przez jakąś lukę w skrypcie, ale jak dodał wpisy jeżeli mam logowanie zablokowane, przez xmlrpc ?

 

Dostęp mam zablokowany do:

 

<Directory /home/*/domains/*/wp-admin>
<Files wp-login.php>

<Files /home/*/domains/*/wp-content/*.php>

[ttah]

Jak to przez dziurę w skrypcie to wystarczy, że ma dostęp do dziurawego pliku. Blokowanie rzeczy "oczywistych" nie wystarczy.

 

Szukaj przyczyny, łatanie na ślepo to nie jest rozwiązanie problemu.

[jimmi]

możesz jeszcze poblokować adresy ip, a właściwie zablokować wszystkie poza twoim.

[SzlafRock]

Sprawdź wszystkie pliki. Szczególnie pliki .js, pliki pluginów, szablonów oraz bazę.  Prawdopodobnie jest gdzieś wstrzyknięty kod.

[Sagitario]

@MaxPan zasugerowałem tylko żeby sprawdził, nigdzie nie napisałem że jest to rozwiązanie jego problemu

 

Jakieś pomysły ? Nie potrzebuję gotowego rozwiązania tylko naprowadzenia.

 

 

Napisał że już miał problemy z "hakerami" i po przeniesieniu stron dalej ma z tym problem

 

 

Kraść hasło do WP wpisywać nowego użytkownika nie miało by w tym przypadku żadnego sensu, logiczne było by dodawać jako istniejący.

 

Zgadza się, ale mając dostęp do FTP można wgrać plik JS czy PHP na serwer i dalej już automat działa.

 

Po drugie w logach było by logowania admina

 

Nie koniecznie, tak jak napisałem wyżej.

.

[MaxPan]

A logi FTP to co? nie koniecznie?

99% to dziura w wtyczce i całkiem prawdopodobnie, że celowo pozostawiona.

[Sagitario]

A logi FTP to co? nie koniecznie?

 

Tak, ale w pierwszym poście nic nie napisał że sprawdzał logi, nie dla wszystkich jest to tak oczywiste po ataku.

 

Masz pewnie rację że jest to wstrzyknięty kod/plik, zasugerowałem tylko sprawdzenie własnego komputera to wszystko.

 

 

A logi FTP to co? nie koniecznie?

 

Sprawdź czy na serwerze nie masz pliku t44.php

 

[arve_lek]

@możesz jeszcze poblokować adresy ip, a właściwie zablokować wszystkie poza twoim.

 

To miałem zrobione.

 

@Sprawdź wszystkie pliki. Szczególnie pliki .js, pliki pluginów, szablonów oraz bazę.  Prawdopodobnie jest gdzieś wstrzyknięty kod.

 

Wszystkie pliki przed wgraniem na serwer były skanowane, tylko plików js nie skanowałem

 

Zamiana: <\?php   .*?>.*<\?php na <?php

sh_decrypt_phase|md5\(\$_POST| killall|userAgents|\$auth_pass

eval/

{eval

{ eval

<?php $GLOBALS

$a = chr

<?php   - ze spacjami

exit();}

base64_decode

echo $GLOBALS

$GLOBALS[$GLOBALS

$GLOBALS[

phpinfo();

eval(

 

Od góry do dołu były wyszukiwane i ręcznie przeglądane. O sto razy więcej wirusów tym sposobem znalazłem niż np. yandex manul itp.

 

@99% to dziura w wtyczce i całkiem prawdopodobnie, że celowo pozostawiona.

 

Całkiem możliwe, bo korzystam z darmowych szablonów.

 

@Masz pewnie rację że jest to wstrzyknięty kod/plik, zasugerowałem tylko sprawdzenie własnego komputera to wszystko.

 

Komputer na 99,9% wykluczam.

 

@Sprawdź czy na serwerze nie masz pliku t44.php

 

Nie mam takich dziwnych plików. Wszystko pousuwane. I teraz haker nie ma możliwości zmiany plików. Można to tylko zrobić poprzez główne konto sftp, do której nie ma dostępu.

[arve_lek]

Informacyjnie: Wyłączyłem prawa zapisu do bazy danych dla wszystkich domen. WP się nie wykrusza, to tak jakby ktoś chciał rozwiązać wszystkie problemy z wirusami

[suszela]

Można to tylko zrobić poprzez główne konto sftp, do której nie ma dostępu.

 

Jesteś tego aż taki pewien? Nie wydaje mi się, aby akurat na Twoje strony chciałoby się komuś fizycznie tj. osobiście włamywać bo jaką ma z tego korzyść a ile ryzykuje?

 

Jestem przekonany, że robi to automat a Ty masz po prostu dziury w skryptach jak w skarpetach 

[arve_lek]

CZy ktoś wie czy da się zablokować exim, qmail itp. Wszystkie sposoby na wysyłanie maili ? Haker ma zablokowane porty, ale tego nie wie i mi serwer zarzyna ? Mam serwer na czystym VPS od ovh. Płatna porada też wchodzi w grę, lub namiary na osobę, które jest dobra w tych kwestiach.

 

Niestety funkcje exec() eval() itp muszą działać, bo inaczej mi strony przestaną działać