Strona po ataku hakerskim

[grzendi]

Witam,

 

Ostatnio mój znajomy zgłosił mi że jego strona ma w wynikach google chińskie-japońskie wyniki w ilość ok. 281 000 - brak wyników w języku polski. Poczytałem trochę w internecie okazuje się że to atak hakerski, który prawdopodobnie trwał 2-3mc. Strona jest oparta o aktualny CMS Wordpress. W związku z zaistniałą sytuacją wszystkie pliki została usunięte z serwera i została wgrana czysta wersja strony. Zostały też zmieniona baza danych, loginy i hasła podobnie do FTP. Pytanie moje jest takie, gdyż w Search Console w "Problemy dotyczące bezpieczeństwa" znowu zostały odnalezione jakieś linki z datą 14.10.16 po wykonaniu wgrania czystej kopii strony. Jak poprawnie pozbyć się tych wyników w Google oraz ewentualnego złośliwego kodu ze strony, gdyż wydawało mi się że zmiana haseł loginów, nazwy bazy danych i wgranie czystej wersji pomoże.....

 

Z góry dziękuje za jakieś podpowiedzi....

 

[jimmi]

było już parę razy, wgraj jeszcze raz wszystko od początku... zrób aktualizację. 

wgraj jakiś plugin monitorujące typu worldfence czy coś podobnego.

Bardzo możliwe że wgrałeś już z  virusem backup... albo masz kod w szablonie czy jakimś pluginie.

 

jak już rzeczywiście wszystko wyczyścić, wgraj nową mapę strony tylko ze stronami, które powinny być.

[duchu0]

Istotna jest też jakość hostingu na którym trzymasz tą stronę, wielu osom wydaje się, że wezmą najtańszy i będzie dobrze. A potem okazuje się, że pojawiają się problemy jak ten powyżej. 

Zadaj znajomemu pytanie czy używa wtyczek czy szablonów nulled, bo to jest druga przyczyna problem ze stroną. 

Poszukaj nietypowych plików dla WP które prawdopodobnie znajdują się na serwerze. 

Niestety prawda jest taka, jeśli korzysta z nulled to najlepszym sposobem jest postawienie od nowa i nie korzystanie z takich rozwiązań. 

[grzendi]

Zainstalowane plugin to tylko

• columns-for-bootstrap
• contact-form-7
• eu-cookie-law
• font-awesome-4-menus
• google-sitemap-generator

Sprawdziłem kod strony i wydaje się być bez zmian, zrobiłem to kilka razy. Komputer z którego wrzucałem stronę ma antywirusa (wykupionego, nie jakieś free). Szablon strony jest wykonany w Bootstrapie.

A wyników w google przybywa. Tak wyglądają problemy dot. bezpieczeństwa w search console, linki które powstały 14.11 są po niby czystym wgraniu strony. Hosting Superhost, wydaje się spoko, chociaż strasznie męczą z obciążeniem procesora - dość irytujące.

[atomatic]

Jeśli nie robiłeś ostatnio żadnych aktualizacji (samego wordpressa czy pluginów) przejrzyj katalogi wordpressa (np. wp-admin, wp-includes) na swoim serwerze, posortuj pliki po dacie modyfikacji i przyjrzyj się bliżej plikom php które były ostatnio modyfikowane. Porównaj je z plikami "czystego" wordpressa w tej samej wersji. Może zauważysz coś nietypowego.

[duchu0]

@grzendi, 

 

Jak chcesz to napisz na PW, coś podziałamy i może uda się rozwiązać twój problem. 

[Jacek J.]

1) Sprawdź jaką masz wersję WP

2) Pobierz identyczną wersję WP z repozytorium Wordpressa

3) Wywal ze swojej strony wszystko zostawiając tylko folder wp-content i plik wp-config.php

4) Sprawdź wp-config.php czy nie ma doklejonego syfu, jeśli nie potrafisz - skorzystaj z przykładowego pliku konfiguracyjnego i przekopiuj dane dostyczące połączenia z bazą jak i wgrać świeże linie z salt. 

5) Dograj z oryginalnej kopi foldery wp-admin, wp-includes plus pozostałe brakujace pliki w lokalizacji tam gdzie wp-config.php

6) Wyeksportuj ustawienia z contact-form-7 i zapamiętaj pozostałe ustawienia dla innych wtyczek.

7) Odinstaluj wtyczki

8) Zainstaluj wtyczki ustawiając je na nowo, a do contact-form-7 importuj wcześniej eksportowane ustawienia.

9) Przejdź do folderu uploads w wp-content i wgraj plik .htaccess blokujący wykonywanie plików php, ustaw mu chmod na 444 

10) Plik identyczny (htaccess) wrzuć do folderu languages, pomimo że jest tam plik php to za dużo nie popsujesz, dodatkowo sprawdź ręcznie może sam coś wyłapiesz, ale skoro nie masz doświadczenia to zastosuj ten plik. 

11) Zrób podwójne logowanie, pamiętaj aby chronić też plik wp-login.php ale zezwalaj jednocześnie na dostęp do pliku wp-ajax.php. 

12) Jeśli nie korzystasz to całkiem usun xmlrpc.php albo w htaccess zablokuj każdemu dostępu do tego pliku i zezwól jedynie dla swojego IP.

13) Usiądź i módl się, abyś wszystko zrobił poprawnie i to wystarczyło, więcej samodzielnie nie zrobisz bo zapewne coś rozwalisz;)

14) Sprawdź czy nie masz niepożądanych gości w tabeli wp-user

15) Dodaj stronę z wersją www i bez www do GSC i sprawdź kto jest zweryfikowany, nie znasz to wywal, cofnij weryfikacje i włącz powiadomienia e-mail

16) W GSC sprawdź mapę strony, czy oby na pewno jest właściwa.

17) Ponownie siadasz, rozkładasz ołtarzyk i modlisz się, abyś był skuteczny i monitorujesz logi, możesz na stronę wrzucić zdjęcie Pawłowicz, aby odstraszało potencjalnych włamywaczy.  

18) Zrezygnuj z superhost - to wielka pomyłka;)

19) Czas zadbać o backupy

 

Jeśli wszystko zrobiłeś jak wyżej to jest 50% szans, że zostawiłeś jakiś syf, więc użyj umysłu i palców do przeklikania miejsc, których nie sprawdzałeś, posprawdzaj pliki itp. 

 

Jeśli jesteś pewien, że Ci się udało to obudź się i bądź czujny bo za kilka dni zbudzisz się z ręką w nocniku Ale ogólnie bądź dobrej myśli. 

 

Na koniec, nie wiesz co było powodem ataku (włamu) analiza logów jest niezbędna i to sporo wstecz polecam. Nie wiesz antywirusom bo to co Cię spotkało to tylko potocznie nazwano wirusami Więc to że masz takiego czy srakiego antywirusa nie sprawia, że zbawisz znajomego od złego. Wywal wszystkie konta FTP, pozmieniaj dostępy, osoby które korzystają z FTP niech skanują kompa czymś na malware, a najlepiej korzystajcie z SSH, a sorki, to superhost, więc zmień hosting, byle nie na nazwę, linux czy broń boże home.pl. 

 

Zainstalowane plugin to tylko

• columns-for-bootstrap
• contact-form-7
• eu-cookie-law
• font-awesome-4-menus
• google-sitemap-generator

Sprawdziłem kod strony i wydaje się być bez zmian, zrobiłem to kilka razy. Komputer z którego wrzucałem stronę ma antywirusa (wykupionego, nie jakieś free). Szablon strony jest wykonany w Bootstrapie.

A wyników w google przybywa. Tak wyglądają problemy dot. bezpieczeństwa w search console, linki które powstały 14.11 są po niby czystym wgraniu strony. Hosting Superhost, wydaje się spoko, chociaż strasznie męczą z obciążeniem procesora - dość irytujące.

 

 

[5corpio]

Z doświadczenia polecam czasem też przeskanować porządnie dysk i komputer z którego wrzucasz pliki na FTP

[cyber]

No właśnie, swego czasu korzystałem z filezilli i wirus na moim komputerze doklejał kod do plików wysyłanych na serwer.

[duchu0]

Tak jak mówiłem wcześniej FileZilla to zło. 

[SzlafRock]

FileZilla to zło. 

 

Możesz wyjaśnić dlaczego? 

 

 

[duchu0]

Możesz wyjaśnić dlaczego? 

 

Ano dlatego, że przechowywane hasła są jako plaintext. Jeśli ktoś chce lub naprawdę musi jej używać to najlepiej wyłączyć opcję przechowywania haseł. Jest też wiele wątków o tym, że FileZilla to po prostu sam w sobie malware. Oczywiście to tylko moje zdanie które ugruntowałem sobie na podstawie obcowania (krótkiego, ale jednak) z tym programem i z informacji jakie znaleźć można w sieci. 

[mghost.pl]

@duchu0: od 2013 roku, o ile mnie pamięć nie myli, hasła w FileZilli są szyfrowane.

[SzlafRock]

Oczywiście to tylko moje zdanie które ugruntowałem sobie na podstawie obcowania (krótkiego, ale jednak) z tym programem i z informacji jakie znaleźć można w sieci.

 

Widzisz, krótko obcowałeś i masz błędną ocenę. Nie opieraj się też na informacjach z sieci.

Jeśli masz kiepska ochronę komputera (lub wcale jej nie masz) przed wirusami i innym badziewiem to tak masz. Należy stosować podstawowe wymogi bezpieczeństwa a nie będziesz miał żadnych problemów.

Problemem z włamaniami na strony zrobione w oparciu o popularne CMSy nie jest klient ftp a dziurawe modyfikacje i szablony pobierane z różnych źródeł.

[MaxPan]

Ano dlatego, że przechowywane hasła są jako plaintext

 

Ano jak zapisujesz hasła do obojętnie jakiego softu, to czekaj "gości".

o ile mnie pamięć nie myli, hasła w FileZilli są szyfrowane

Oczywiście, że szyfrowane. Ale i tak polecam notatnik i długopis, lub teczka i wydrukowane listy a4 z danymi do hostów. Nie ma tego aż tak dużo.