Problem z malware

[5k18a]

Od wczoraj walczę z malware na wszystkich moich cmsach (wordpress i joomla), które są na serwerze nazwa.pl. Tracę już wiarę że uda mi się pozbyć tego syfu, w szczególności że infekuje również strony nie podpięte pod domenę. Wygląda to jak atak przez ftp, ale mam ustawiony dostęp tylko na mój adres IP. Wszystkie hasła pozmieniałem od panelu c.admin po FTP do cmsów i nic. Malware wygląda następująco:

1. dodaje przekierowania do .htaccess (różne katalogi):

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} google [OR]
RewriteCond %{HTTP_REFERER} google
RewriteCond %{REQUEST_URI} !(\.js|\.css|\.png|\.jpg|\.jpeg|\.gif|\.svg|\.ttf|\.woff|\.eot)
RewriteRule ^.*$ 7af5df.php [L]
</IfModule>

2. tworzy plik 7af5df.php (różne katalogi)

3. nadpisuje index.php

4 W losowych katalogach wordpressa i joomli tworzy katalog ad2e z wieloma plikami

Sam zmienia uprawnienia dostępu do plików z chmod 444 na chmod 644.

Po usunięciu wszystkich zmian, ustawieniu uprawnień na 444 po nawet niespełna minucie znowu mam nadpisanego malware. Sprawdzałem logi nie mam żadnych nieautoryzowanych logowań. Jedynie nie mam dostępu do loga FTP, ale już poprosiłem o wgląd do niego. Jednak zmiany dokonują się również po całkowitym wycięciu dostępu do FTP. Więc nie spodziewam znaleźć się tam niczego ciekawego.

Wie ktoś jak z tym mogę walczyć?

[krzysiek_web]

A sprawdzałeś czy Twój komputer nie jest zainfekowany? Może jakieś pseudo dziurawe wtyczki masz w joomli czy wp?

[nrm]

W logach FTP powinno być kto i z jakiego IP co robił. To powinno wykluczyć albo naprowadzić czy faktycznie syf leci z Twojego komputera.

[5k18a]

5 minutes ago, krzysiuus said:

A sprawdzałeś czy Twój komputer nie jest zainfekowany? Może jakieś pseudo dziurawe wtyczki masz w joomli czy wp?

Sprawdzałem komputer przy użyciu Malwarebytes i Ad-avare jest czysto. Polecasz jeszcze jakiś skaner?

[krzysiek_web]

AdwCleaner

[5k18a]

Straciłem już nadzieję. Pierwszy raz mnie dopadło coś takiego. Co wyczyszczę strony to znowu po jakimś czasie się pojawia malware...

Jest może ktoś dobrze obeznany kto byłby mi wstanie pomóc?

[DeeSiedem]

Przeskanuj wszystkie pliki na ftp. Skrypt, który to nadpisuje siedzi prawdopodobnie w pliku header.php.
Możesz również użyć tej stronki dla łatwiej lokalizacji skryptów - https://sitecheck.sucuri.net/

[Jacek J.]

W razie jakby Pan sobie nie poradził zapraszam. Oczyścimy i zabezpieczymy na przyszłość.

[Nikonem]

23 minuty temu, Jacek J. napisał:

W razie jakby Pan (...)

Co "Wy" z tym "Panem" Tutaj jesteśmy na Ty

[Jacek J.]

Słuszna uwaga, ale zachowałem jeszcze szczątki kultury  

[MaxPan]

a regulamin czytałeś? Tam wszytko napisane

[elroy]

Najlepsze rozwiązanie ale za to najbardziej czasochłonne to postawić na drugim czystym serwerze od nowa najnowsze wersje cmsa i ręcznie przenieść treści. Ten wirus replikuje się do wszystkich katalogów na serwerze i nie ma sensu usuwać go na zainfekowanym serwerze w poszczególnych domenach bo i tak się rozmnoży.

[jimmi]

@5k18a a zaktualizowałeś i zabezpieczyłeś stronę... wydaje mi się że tylko osunąłeś większość złośliwego kodu

[Mion]

4 hours ago, elroy said:

go na zainfekowanym serwerze w poszczególnych domenach bo i tak się rozmnoży.

Hosting to nie komputer z Windows i procesami i programami exe. Hosing tp przede wszystkim kod php i żądania post/get je wywołujące.

 Więc można się pozbyć "obcego kodu" i zabezpieczyć przed ponownym dodaniem, ale najpierw trzeba ustalić metodę ataku i usunąć przyczyny nie tylko jego skutki.

[5k18a]

Ok chyba opanowane. Zdarzało mi się że miałem jakiegoś robala ale zwykle to było wycięcie kodu z jednego pliku php. Tym razem miałem backdoora zainstalowanego przez jedną lewą wtyczkę. Usunąłem wszystkie strony z serwera i czyściłem je na moim kompie. Cała procedura trwała 2 dni. I mimo, że nie mam żadnych powiadomień w gsc to strona została wyindeksowana. Kompletnie nie ma mnie na żadnej pozycji, a byłem na 3 miejscu. I teraz nie wiem czy wrócę czy jestem w głębokiej d... 50% klientów jest ze strony internetowej. Jak nie wrócę na miejsce to nawet nie chcę myśleć co będzie..