Napadnutý web, databaza, odosielanie SPAMU

Vyřešeno1.00K zhlédnutíWebhosting
0

Web wordpress odosiela spam, je zaheslovany Admin, wp-login.php je presmerovane a teda toto nefunguje, aktivne blokujem skodlive IP, ale web a tak posial spam, zistil som ze v databaze je cast xx pots viac zaznamov vid screen. ako odhalit injektaz do mojho kodu? ako to liecit?

Role: Zákazník
Otázka je uzamčena pro nové odpovědi.
Vybral nejlepší odpověď
0

Skript  je zrejme niekde na hostingu ale neviem ho nájsť ani podľa dátumu zmeny ani kontrolou najčastejšie napadnutych php ako config, functions a pod. Tento útočník posiela maily cez rozne@domena.sk a to aj keď wedos blokuje odosielanie mailov, cez wedos admin stále vidím ochadzajuci SPAM.

v databáze som zmenil heslo aj do ftp, je to bez zmeny, aj keď v databaze zmazem tie posty hneď začnú znova naskakovat.

nie je problém nainštalovať web nanovo ale pokial neviem ako bol web prelomeným je otázka času kedy týmto budem trpieť zas

Role: Zákazník
Vybral nejlepší odpověď
0

Zdravím, nejlepší je kompletně všechno smazat a provést novou instalaci (včetně pluginů a šablony). Všechno aktualizovat na poslední verzi. Z nejstarší možné zálohy (kde se neměnil obsah) pak provést import databáze a nahrání obrázků.

Jakákoliv snaha zachránit současnou instalaci bude o dost náročnější. Je třeba najít backdoor (zadní vrátka), kterými útočník instalaci ovládá a všechny vyčistit. To samé platí i o bezpečnostní díře. Pak je nutné samozřejmě odstranit všechen závadný obsah – db, soubory atd.

Samozřejmě důležité je i zjistit jak se tam útočník dostal. Většinou za to může neaktualizovaný plugin/šablona, slabé heslo anebo plugin/šablona stáhnutý od třetí strany.

Role: Zákazník+ Web: https://404m.com Vizitka: Neprogramuj dnes, co nemůžeš debugovat zítra.
Odpověděl na otázku
0

Beriem na vedomie že treba cely web preinstalovať, ale mám pocit že útočník ma zaznačené doménu a pokial pod tou doménou bude stále WP je len otázka času kedy ho zlomí, preto je podstatne vedieť ako sa na web dostal, a teraz zísť cez aký skript spúšťa vytváranie posts v databaze. Len neviem ako to urobiť

Role: Zákazník
publikoval nový komentář

Většina nových webů jede na WordPress, takže WordPress není problém. Ten je v nějaké zranitelnosti, což většinou bývá díra v pluginu anebo šabloně. Dohledat tuto zranitelnost samozřejmě jde protože téměř všechny starší jsou veřejné. Seznam se nachází třeba zde wpvulndb.com.

Kde jsou zadní vrátka se také dá najít. Většinou se používá srovnání nenapadených souborů s těmi co jsou na hostingu. Někdy to jde udělat i snadno a projet soubory podle poslední změny, většinou se liší od poslední aktualizace. Samozřejmě části skriptů mohou byt rozházeny po různých adresářích (obrázky, dočasné soubory atd.) Osvědčilo se mi hledat v souborech i řetězec base64_decode, který se používá pro maskování kódu.

0

Nainstalujte Wordfence a zapnete webovy firewall + blacklisting. Pravdepodobne pouzivate zranitelny plugin, pres ktery se dostane k ostatnim souborum.

https://wordpress.org/plugins/wordfence/

Role: Zákazník
Změnil status na publikováno