Un truffatore ha inserito un file remoto su un sito Web Wordpress?

Question

Un truffatore ha inserito un file remoto su un sito Web Wordpress?

#1 da (2 voti)
#2 da (1 voti)
#3 da (1 voti)

2

Uno sviluppatore precedente che ho usato si è arrabbiato e ha iniziato a compromettere i file del mio sito Web su basi giornaliere (come cambiare l'indice del sito con messaggi strani, eliminare i file .htaccess, rinominare le cartelle, modificare le tabelle DB). Ho il sospetto che mentre stava lavorando sul sito, ha inserito un po 'dove nell'opzione dei file per ottenere l'accesso remoto ai file del sito web?!

Per questo ho:

changed the FTP user/pass/DB pass
blocked the access from his country's IP range using .htaccess...
backed up the entire DB and the FTP files
the permissions of the files has been chmod to 644 & 755 (as required)*

Questa mattina, quando mi sono svegliato e ho cercato di accedere al mio sito, sono rimasto scioccato dal fatto che l'accesso al mio sito sia stato negato ... lol. Quando ho controllato i file ho scoperto che ha modificato il file .htaccess e ha inserito "allow from" il suo IP e "nega" il mio IP.

Qualche suggerimento su come risolvere questo problema sarà apprezzato.

* Posso cercare con grepwin qualsiasi script / file / riga / parola malevolo nei file di backup che ho, se so cosa cercare.

php mysql wordpress ftp

posta user2681779 14.08.2013 - 11:54

fonte

3 risposte

Leggi altre domande sui tag php mysql wordpress ftp

Perché dovrei registrare i log-in riusciti sul mio server? Invio di informazioni Syslog / SNMP su Internet utilizzando la porta UDP standard 514

score 2 · Answer 1

Sembra che abbia una backdoor PHP come sospetti. C'è ben poco che puoi fare per essere sicuro di aver rimosso completamente tutte le tracce della presenza dell'attaccante. Potrebbe avere più backdoor, potrebbe avere script che gli inviano via email nuove password FTP, potrebbe persino avere un rootkit di Windows installato. L'unica vera soluzione è riformattare la macchina e ripristinare un backup .

Tuttavia, se stiamo lavorando sul presupposto che non si dispone di un backup e che l'utente malintenzionato è pigro e fa semplicemente affidamento su una backdoor PHP, allora si vorrebbe eseguire il comando intero docroot per cose come;

system exec passthru shell_exec proc_open popen fopen fwrite

Ovviamente, il tuo aggressore potrebbe usare una backdoor scritta in qualcosa di diverso da PHP, che è ancora un'altra ragione per cui l'intero processo è abbastanza privo di significato. Tuttavia, potresti essere in grado di cacciarlo fuori.

score 1 · Answer 2

Invia un reclamo alla polizia e reinstalla il sito per iniziare. Per trovare i file dovrai passare manualmente tutti i file e trovare tutti i file personalizzati rispetto a un'installazione wordpress pulita (controlla le somme md5). La cosa migliore sarebbe riavviare da zero però.

Per curiosità perché è arrabbiato?

score 1 · Answer 3

Devi trovare la backdoor altrimenti dovrai sempre combattere una battaglia persa.

Se stai ospitando il sito su un VPS, guarda le funzioni di contabilità di linux su per far sì che il sistema operativo registri tutto ciò che viene toccato nella cartella principale (acct, auditd, auditctl, ausearch)

Assicurati che i file non siano stati manomessi per includere una backdoor con strumenti di controllo dell'integrità dei file come "aide" (confronta la versione di backup originale non compromessa del sito con quella esistente)

Filtra i log di apache2 per qualsiasi query che abbia molti parametri di query o con nomi di file insoliti.

Cerca i file eseguibili (.php, other) che hanno stringhe di codice molto lunghe. Le backdoor php standard di solito inseriscono 1 linea molto lunga con codice offuscato. Quindi, cercare il file con la riga più lunga può aiutarti a trovare il file compromesso.

Guarda "account amministratore" sul tuo account di hosting, potrebbe averne aggiunto uno nuovo per sé. Fai lo stesso per FTP, MySQL e altre porte nel tuo account.

Oppure, cerca di utilizzare alcune abilità politiche / sociali per pacificarlo. Le persone diventano così quando le offendi, o quando entrano in modalità "difensiva" a causa di qualcosa che dici. Prova a tornare indietro e trasformalo in un alleato anziché in un nemico. Ricorda che ciò che hai dall'altra parte è uno sviluppatore non professionista che ha molto tempo a disposizione e apparentemente anche molte emozioni. Se riesci a controllare i danni umani, potrebbe rivelarsi più facile per te.

Altrimenti, consiglierei di assumere un esperto di sicurezza dallo stesso sito web che hai assunto per gli altri due.

Buona fortuna ...