Napadnutý web, databaza, odosielanie SPAMU
Web wordpress odosiela spam, je zaheslovany Admin, wp-login.php je presmerovane a teda toto nefunguje, aktivne blokujem skodlive IP, ale web a tak posial spam, zistil som ze v databaze je cast xx pots viac zaznamov vid screen. ako odhalit injektaz do mojho kodu? ako to liecit?
4 Answers
Skript je zrejme niekde na hostingu ale neviem ho nájsť ani podľa dátumu zmeny ani kontrolou najčastejšie napadnutych php ako config, functions a pod. Tento útočník posiela maily cez rozne@domena.sk a to aj keď wedos blokuje odosielanie mailov, cez wedos admin stále vidím ochadzajuci SPAM.
v databáze som zmenil heslo aj do ftp, je to bez zmeny, aj keď v databaze zmazem tie posty hneď začnú znova naskakovat.
nie je problém nainštalovať web nanovo ale pokial neviem ako bol web prelomeným je otázka času kedy týmto budem trpieť zas
Zdravím, nejlepší je kompletně všechno smazat a provést novou instalaci (včetně pluginů a šablony). Všechno aktualizovat na poslední verzi. Z nejstarší možné zálohy (kde se neměnil obsah) pak provést import databáze a nahrání obrázků.
Jakákoliv snaha zachránit současnou instalaci bude o dost náročnější. Je třeba najít backdoor (zadní vrátka), kterými útočník instalaci ovládá a všechny vyčistit. To samé platí i o bezpečnostní díře. Pak je nutné samozřejmě odstranit všechen závadný obsah – db, soubory atd.
Samozřejmě důležité je i zjistit jak se tam útočník dostal. Většinou za to může neaktualizovaný plugin/šablona, slabé heslo anebo plugin/šablona stáhnutý od třetí strany.
Beriem na vedomie že treba cely web preinstalovať, ale mám pocit že útočník ma zaznačené doménu a pokial pod tou doménou bude stále WP je len otázka času kedy ho zlomí, preto je podstatne vedieť ako sa na web dostal, a teraz zísť cez aký skript spúšťa vytváranie posts v databaze. Len neviem ako to urobiť
Nainstalujte Wordfence a zapnete webovy firewall + blacklisting. Pravdepodobne pouzivate zranitelny plugin, pres ktery se dostane k ostatnim souborum.
https://wordpress.org/plugins/wordfence/