Wordpress - ciągła infekcja pomysły?

[jimmi]

zobaczysz co będzie się dziać.
to nie jest tylko jeden include, na 100% masz w paru innych miejscach także.

[kayman]

 jak chcesz, na pewno spamu już nie wyśle tą drogą bo jego kod jest zmieniony na log

 

zmodyfikuj log by narastał jak chcesz obserwowac

<?php 

$fp = fopen('mallwarelog.txt', 'a+');
fwrite($fp, date('Y-m-d H:i:s').PHP_EOL); // czas
fwrite($fp, $_SERVER['REQUEST_URI'].PHP_EOL); // to jest twoja dziura
fwrite($fp, serialize($_POST).PHP_EOL); // to do przejrzenia
fwrite($fp, serialize($_GET).PHP_EOL); // to do przejrzenia
fclose($fp);
exit();

e:/ eeee pisałem z palca nie w+ a a+

[mghost.pl]

Spytaj obecnego dostawcę, czy może przeskanować wszystkie Twoje katalogi public_html maldetem i poproś o raport.

Od biedy możesz też ustawić flagę immutable na wszystkie pliki w public_html i zdejmować ją na czas aktualizacji WP i pluginów.

[stania.info]

2 godziny temu, swits.pl napisał:

Od biedy możesz też ustawić flagę immutable na wszystkie pliki w public_html i zdejmować ją na czas aktualizacji WP i pluginów.

Możesz coś więcej napisać o fladze?

serwis ze względów bezpieczeństwa przeniosłem na host niskobudżetowy (gbzl), gdzie mam dostęp do DirectAdmin (bez SSH),

boję się go przenosić na konto, które mam u Ciebie aby nie infekował innych stron.

 

Wcześniej na linuxpl infekował inne domeny (separacja za pomocą open_basedir w niczym nie pomagała dalej infekował inne strony w /domains)

[mghost.pl]

https://pl.wikipedia.org/wiki/Chattr zwłaszcza podpunkt:

i - uniemożliwia wykonywanie operacji na pliku (edycja, zmiana nazwy, kasowanie, tworzenie dowiązań) wszystkim użytkownikom systemu - także superużytkownikowi (root). Opcja ta może być ustawiana lub zdejmowana przez roota.
 

Możesz poprosić admina o wykonanie takiej operacji. Dzięki temu nie ma możliwości edycji już istniejących plików.

[stania.info]

Dnia 15.12.2017 o 11:21, swits.pl napisał:

https://pl.wikipedia.org/wiki/Chattr zwłaszcza podpunkt:

i - uniemożliwia wykonywanie operacji na pliku (edycja, zmiana nazwy, kasowanie, tworzenie dowiązań) wszystkim użytkownikom systemu - także superużytkownikowi (root). Opcja ta może być ustawiana lub zdejmowana przez roota.
 

Możesz poprosić admina o wykonanie takiej operacji. Dzięki temu nie ma możliwości edycji już istniejących plików.

 

Dziękuję za info oczywiście nie ma takiej opcji (lub nie chce im się), 

kwestę hosta odrzucam, drugi wordpress na tym samym koncie stoi sztywnie nie tknięty (jak by hindusi upodobali sobie tą domenę)

 

@kayman  Dziękuję za świetny pomysł - wgrałem totalnie czystego wordpressa na tą domenę, bez wtyczek z instalacyjną bazą danych, po 2 godzinach widzę w logach:  seki zapytań

POST /wp-includes/images/saseursl.php

Patrzę po FTP, a jak plik istnieje choć godzinę temu wywaliłem do zera konto i wgrałem czystego wordpress-a (najnowszego 4,91) - jakim cudem w wp-includes pojawił się ten plik?

• Hosting odrzucam (zainfekowany byłby inny wordpress na tym samym koncie)
• Wina po mojej stronie? Jaka używam aktualnej fileZilla (mam zapisanych kilka hostów i tylko z tą jedną domeną mam problem)
• Komputer chroniony Comodo antywirusem (free co prawda)

Głupieje powoli.

 

// Edit ciekawa sytuacja

na FTP edytuję plik notatnikiem (wp-settings.php) i  widzę zakodowany php na początku pliku

w NetBeans ściągam plik i tego doklejonego kodu nie widzę. Ciekawe rzeczy

[jimmi]

z tego co wiem to dostałeś ofertę pomocy na PW, warto skorzystać z darmowej pomocy

[stania.info]

14 godzin temu, jimmi napisał:

z tego co wiem to dostałeś ofertę pomocy na PW, warto skorzystać z darmowej pomocy

Tak, zgadza się  kolega mrjozo zaproponował pomoc.
Strona na obecną chwilę czysta - jeżeli infekcja powróci skorzystam.

Dałem restrykcyjne CHMOD-y na wp-content/plugins (555)

wp-config.php (600)

+ wszystkie rozwiązania z linku

https://mojeprogramy.com/zabezpieczenie-wordpress#konfiguracja-wp-config

 

[bananasltd]

Ups suchara tu wkrecilem - no ale oze sie rzyda... :-)

Btw Autor moglby dodac odpowiedz...

 

 

Linuxpl- mam tam konta I niemam twoich objawow

 

Jesli jest czysta instalacja bez theme I wtyczek obstawiam klienta ftp

 

Inaczej to plugin albo theme 

 

Eliminuj po kolei.... 

[Takitam]

Wiadomo w jaki sposób doszło do infekcji ?