My Hacked (?) Siti Wordpress

Naviga le tue risposte
1

Ciao a tutti sto usando un hosting condiviso e la mia società di hosting sta dicendo che i miei siti hanno codici indesiderati e nel rapporto:

Your account had been used to attack our/other servers! Your account holds malicious code / shells!

We found following EXAMPLES! Please understand that we detect many but not all types of compromised files. Especially injected javascripts are hard to detect for us, so inspect the folders holding compromised files in order to detect more unusual and modified files.

means check/delete entire foldercontent including all subfolders

./emreece.com/wp-content/plugins/meme-generator/img/social.png

./emreece.com/wp-content/plugins/meme-generator/meme-generator.php

./kayserisaglammobilya.com/wp-content/plugins/akismet/index.php saying.

Non cambio alcun file negli ultimi tempi, il mio computer è pulito lo scannerizzo con avast e anti malware. Quando guardo i file 'l'ultimo fuso orario sono ancora vecchi tempi. Solo il tempo di modifica della cartella 2-3 è nuovo, ma nei file di questi è ancora presente un tempo di modifica precedente.

Qualunque cosa, ho scaricato tutti i miei file e li ho scansionati con programmi antimalvere e antivirus. Ora voglio scannerizzarli con "ricerca testo". Cerco i testi base64 e eval. Ma ci sono alcuni file che includono base64 e eval nei file core. Stanno cercando il codice predefinito. Si prega di dare il mio consiglio per pulire i miei file, se stanno avendo male il codice.

Se eseguo la scansione con questo script e non essere un errore significa che i miei file sono puliti?

    
posta emrece 03.10.2015 - 12:08
fonte

3 risposte

4

Non sai fino a dove si trova il problema, il che significa che "pulire" è non che cosa dovresti fare. Devi eseguire l'installazione da backup validi noti.

Nessuna scansione ti darà una risposta perfetta (nel senso che nessun errore significa nulla). Devi sapere che i file che hai sono quelli che ti aspetti.

    
risposta data 03.10.2015 - 17:00
fonte
2

Poiché tutti i file elencati sono plugin Wordpress, è possibile che si stiano utilizzando alcuni plugin per i quali esistono vulnerabilità note. È necessario aggiornare i plug-in. Dovresti anche controllare se le ultime versioni dei plugin che stai utilizzando potrebbero anche avere vulnerabilità note.

Modifica: dovresti anche controllare se sono state installate / caricate eventuali backdoor. Modifica anche le tue password wp.

    
risposta data 03.10.2015 - 13:21
fonte
0

Per ora fare come richiede la società di hosting. In futuro, puoi calcolare il file hash di queste directory come segue: 

tar c ./emreece.com/wp-content/plugins/meme-generator/img/ | md5sum > hash_img.md5
tar c ./emreece.com/wp-content/plugins/meme-generator/ | md5sum > hash_mem.md5
tar c ./kayserisaglammobilya.com/wp-content/plugins/akismet/ | md5sum > hash_akismet.md5

archivia gli hash localmente, li ricalcola sui file remoti e verifica gli hash locali in un dato intervallo di tempo.

Se hai abilitato SSH puoi automatizzare ulteriormente il processo. Per prima cosa è necessario un hash delle directory richieste come mostrato sopra e in seguito è sufficiente confrontarlo con gli hash successivi delle stesse directory per rilevare eventuali alterazioni / creazione / eliminazione dei file. 

local_hash_file='cat /local/path/to/dir/hashes/hash.md5'
ssh <user>@<server> remote_hash_file='cat /remote/path/to/dir/hashes/hash.md5'; if [ "$local_hash_file" == "$remote_hash_file" ]; then echo CHANGED; fi
    
risposta data 03.10.2015 - 12:27
fonte

Leggi altre domande sui tag

Quale cronologia di navigazione avrebbe esattamente la polizia sotto proposta di modifica della legge del Regno Unito? Inglese semplice Le immagini inviate sulla rete Wi-Fi aziendale per errore [duplicato]