Wirus przekierowania na stronie

[Kamil_Kluczbork]

Witam serdecznie, proszę o poradę doświadczonych webmasterów

ponieważ pierwszy raz walczę z takim problemem.

 

Otrzymaliśmy jakiś czas temu trackback do naszego produktu na woocomerce, w środku był link, nie był szczególnie podejrzany,

kliknęliśmy i wówczas wyskoczyła dziwna strona. I prawdopodobnie od tego się zaczęło, ale nie jestem pewien do końca.

 

Jaja zaczęły się kilka dni później, użytkownik który dokonywał opisy produktów nagle utworzył 120 wpisów na blogu o sex dating-u. Usunąłem wpisy i konto. 

Teraz zauważyliśmy że w google indeksujemy się tak:

https://www.google.pl/search?ei=8jAzW_6hD4vp6ASoqaroBA&q=site%3Awozki-transportowe.com.pl&oq=site%3Awozki-transportowe.com.pl&gs_l=psy-ab.3...267574.273895.0.274013.30.30.0.0.0.0.99.1673.30.30.0....0...1.1.64.psy-ab..0.5.317...0j0i67k1j0i131k1j35i39k1j0i10k1.0.KD--RduzvL8

 

W pliku htacces nie widać żadnych przekierowań

Od strony panelu WP też w kodzie nie widzę nic dla większości zakładek które tak się indeksują

Skaner SECURI nic nie wykrywa

Narzędzie google do badania czy strona jest zawirusowana tez nic nie wykrywa

 

I powiem szczerze że nie wiem co zrobić, jak to znaleźć i jak się tego pozbyć.

Proszę o pomoc,

 

 

[MaxPan]

Masz zalożony cloaking, oczywiscie nie chodzi o .htacces. Znależć można po dacie zmian plików, bo ich rozmiarze, po odwolaniach.

[SzlafRock]

37 minut temu, Kamil_Kluczbork napisał:

powiem szczerze że nie wiem co zrobić, jak to znaleźć i jak się tego pozbyć.

 

Najlepszym sposobem jest odtworzenie strony z backupu, ale na pewno nie zrobiłeś kopi.

Jednym z lepszych sposobów to jest usunięcie katalogu plugins (możesz wtyczki później zainstalować ponownie ale z wiadomych źródeł) i analiza plików (szczególnie .js z czystą instalacją WP. Często sprawdzenie po dacie modyfikacji nic nie daje.

Podstawą jest też zmiana haseł do WP oraz do konta serwerowego. to dopiero po znalezieniu szkodliwego kodu/kodów

[Kamil_Kluczbork]

Otrzymuję teraz takie maile z GDATA

 

Event: Failed Login
Website: https://wozki-transportowe.com.pl
IP Address: 178.175.128.90
Reverse IP: 178-175-128-90.static.as43289.net
Date/Time: 26 June 2018 13:26


Message: User authentication failed: tyszak


Explanation: Someone failed to login to your site. If you are getting too many of these messages, it is likely your site is under a password guessing brute-force attack [1]. You can disable the failed login alerts from here [2]. Alternatively, you can consider to install a firewall between your website and your visitors to filter out these and other attacks, take a look at Sucuri Firewall [3].

[1] https://kb.sucuri.net/definitions/attacks/brute-force/password-guessing
[2] https://wozki-transportowe.com.pl/wp-admin/admin.php?page=sucuriscan_settings 
[3] https://sucuri.net/website-firewall/

 

edit. tyszak to konto które usunąłem

 

Backupu nie mam

Przeglądam pliki po dacie ale nic w środku nie widzę, posługuję się poradnikiem:

https://developers.google.com/web/fundamentals/security/hacked/fixing_the_cloaked_keywords_hack?hl=pl 

 

Ciężka sprawa, jak teraz usunę pluginy to cała strona się rozsypie.

Nie lepiej najpierw wgrac świeże pliki wordpressa a zostawić tylko content i wp-config ?? Pewnie tez się strona rozsypie.

 

A Kwestie rozumienia błędów PHP u mnie leżą...

 

O mamooo, co robić....

[SzlafRock]

Zobacz https://isithacked.com/check/wozki-transportowe.com.pl

[Kamil_Kluczbork]

Jedyne co wyrzuca to wishlist tak ?

W środku jest

Cytat

<span data-mce-type="bookmark" style="display: inline-block; width: 0px; overflow: hidden; line-height: 0;" class="mce_SELRES_start"> </span>[yith_wcwl_wishlist]<span data-mce-type="bookmark" style="display: inline-block; width: 0px; overflow: hidden; line-height: 0;" class="mce_SELRES_end"> </span>

 

[MaxPan]

Widzę słabo na tym znasz się, więc jeśli nie masz kopii zapasowej napisz ogłoszenie może ktoś będzie chcieć zrobić Tobie to odplatnie posprzątać.

Pamiętaj dział ogłoszenia i złecenia ma swój regulamin przeczytaj go.

Do mnie nie pisz, ja tego robić nie będę.

[SzlafRock]

Podstawą ataków na WP są "furtki" w pluginach oraz szablonach. W mniejszym stopniu brak aktualizacji tychże. Zastanów się co instalowałeś i skąd.

[Kamil_Kluczbork]

Prawdopodobnie znalazłem mendę

 

 

Plik wp-blog-header.php

[MaxPan]

ale co data modyfikacji ma taką samą jek reszta plików?

Musza być jeszcze inne pliki...

[Kamil_Kluczbork]

GDATA Internet Security już nie blokuje strony po wywaleniu tego.

[MaxPan]

To zrozumiełem że GDATA nie widzi w tym momencie przekierowań, ale usunęleś skutek nie przyczynę to co doprowadziło do zalożenia cloaki. Gzieś masz dziurę i tym ją nie zalatałeś.  Osoba co Tobie to założyla prawdopodobnie zrobi to jeszcze raz jak zaobserwuje brak ruchu z domeny.

[Kamil_Kluczbork]

Czyli zmiana haseł nic nie da ???

 

Każda wtyczka prócz szablonu z evantomarket instalowana bezpośrednio z panelu wordpressa.

[blake]

Nic, bo wchodzi przez dziurę w szablonie/pluginie a nie przez hasła do ftpa/wp

Godzinę temu, Kamil_Kluczbork napisał:

Każda wtyczka prócz szablonu z evantomarket instalowana bezpośrednio z panelu wordpressa.

To posprawdzaj teraz te wtyczki na ilość pobrań i opinii. Zainteresuj się tymi co mają mało jednego i drugiego. Szablon, nawet jeżeli był płatny to też mógł być dziurawy, poszukaj w necie czy nie ma gdzieś info o włamach przez ten szablon, bo na pewno nie jest tak, że tylko na Ciebie padło.