Gestisco qtechtheory.org, il sito web del mio gruppo di ricerca, che gestisce Wordpress ed è ospitato da BlueHost. Anche se siamo stati colpiti con l'iniezione PHP per diverse settimane, ho mantenuto il sito attivo poiché non contiene informazioni sensibili e sono stato interessato a trovare la vulnerabilità.
Ora, Wordfence segnala "una modifica nei record del server email (MX) della configurazione DNS". Suppongo che questo significhi che stanno tentando di reindirizzare qtechtheory.org sul loro sito, o di intercettare / spoofing email a / dal nostro dominio. I nuovi record hanno un dominio vuoto.
Quindi, le mie domande sono
- Che cosa sono esattamente in grado di fare ora?
- Quanto "accesso" devono avere per poter attuare questo cambiamento? Potrebbe quell'accesso essere veramente elevato dall'iniezione di PHP, ad es. qualche plugin?
- Posso annullare questa modifica senza dover ricreare il sito? Altrimenti, si tratta di una modifica che potrebbe persistere se ripristino un backup del sito?
- Indica un problema che non riesco a risolvere nascondendo / ricreando il sito wordpress e che dovrò occuparmi di BlueHost?
Infine, ci sono suggerimenti per trovare la vulnerabilità in modo da non ricrearla? Uso circa 13 plug-in, che sono troppi da esaminare.
Modifica
Ho trovato un account SSH di cui non ero sicuro, chiamato 'ss-a76cde51202b8a78'. L'ho cancellato dopo aver scoperto nel registro di accesso FTP:
/home2/ldjovumy/public_html/MMprobe-3et5u.php b _ i r [email protected] ftp 1 * c
(nota che non ho trovato MMprobe-3et5u.php
). Il comando proveniva da IP 52.10.88.182, lo stesso riportato in questi attacchi . Suppongo che risponda a who-dun-it.
Grazie per l'aiuto!