Sziasztok!
Pár hete vásároltunk a Dotroll-nál tárhelyet, amin több WP oldalt is indítottam.
Észrevettem az indulás után pár nappal, hogy az oldal átirányít különböző pornó oldalakra. A htaccess file átírásra került, de nem 1, hanem szinte az összes oldalon, ami ezen a tárhelyen futott.
Töröltem az tárhelyen levő összes filet, töröltem a MySQL adatbázist, újra létrehoztam mindent, új admin, új pw…
Feltettem a WordFence plugint minden oldalra.
Sajnos azt tapasztalom, hogy brute-force próbálkozások vannak az oldalakon és rengeteg robot jár az oldalakon.
Itt látható pár: http://screencast.com/t/bhq9jlvKU
Talán sikerült ezzel a védelemmel megakadályozni a további problémát, de a kérdésem az, hogy teljesen ismeretlen, 1 hete regisztrált domainre hogyan és miért találnak robotok?
Normális az, hogy ennyi külföldi forgalom van új oldalakon?
Kína, USA stb.
http://screencast.com/t/SGLiiQGVC
Amennyiben nem, ezt a forgalmat hogyan tudom leállítani?
Egyáltalán hogyan találnak az oldalra?
Kérdeztem erről a DotRoll-t is, csak a Bullshit jött… Frissítsem a WP-t és ne használjak veszélyes plugineket.
Lehet, hogy a tárhelyszolgáltatónál van probléma?
Szűz WP telepítésekről beszélünk!
Köszönöm előre is
Igen, normális. A forgalmasabb tárhelyszolgáltatóknál szinte azonnal érzékelhető az új honlap (a leggyorsabb indexelési tapasztalatom: 5 perccel a wp telepítése után indexelve volt az oldal egy kb. 10 perccel korábban regisztrált domainnel - a tárhely: Arvixe). A scriptek/botok/robotok pedig folyamatosan pásztázzák a netet.
Olvasd el ezt: https://wordpressbiztonsag.xyz. Szerintem nem marad kérdésed…
Szia!
Ha 100%, hogy nem tőled lopták el az FTP adatokat és a szolgáltató nem tudja megmondani, hogyan (pl a log alapján, honnan és hogyan módosították), akkor válts tárhelyet!
Ha egy full friss, plugin nélküli oldalon átírják a .htaccess-t, ott lehet az van, hogy nem a te tárhelyed törték fel, hanem az egész osztott szervert.
Legfontosabb:
Ilyenkor mindenképp ki kell deríteni az okot, mert előfordulhat az, hogy az életben nem szabadulsz meg a feltörésektől! És ehhez kell a szolgáltató segítsége is (ha nem tudod magad megállapítani és egy átlag felhasználó úgysem tudja). Egyébként a wordfence vagy hasonló plugin használata kötelező (tűzfal), csak ugye az sem véd meg egy mindentől. (Pl azoktól, amit az első mondatban írtam.)
Az, hogy támadják az oldalt az sajnos alap probléma…ez minden WP-s oldalt érint. (Vagy nyílt forráskódú CMS-t, a WP-t meg különösen, mert nagyon sokan használják.)
Másik (visszatérve arra, hogy ha biztos hogy nem a gépedről lopták el az FTP-t és nem az osztott tárhelyet törték fel és úgy módosult) akkor érdemes kipróbálni a cloudflare-t is, van ingyenes része is. Ők az adatbázisuk alapján egy google recaptcha-t tesznek az rögzítetten “veszélyes” lekérések elé.
Igazából lehet tippelgetni meg minden, de ha nem tudod meg, hogyan történt, akkor a feltörés könnyen ismétlődni fog. Ezért is kell olyan tárhely, ahol ebben segítenek neked és a szerverüket is megfelelő tűzfalakkal látják el.
Nem tudja szűrni a robotokat a Dotroll. Másik tárhelyet válassz.
(Az meg, hogy fel is törték se-perc alatt az oldalakat, -ha nem tőled szerezték a jelszót-, akkor Én egy percig se maradék náluk. Újra fel fogják akkor törni.)
WordPress biztonságáról egy összefoglaló blog bejegyzés: http://rotisoft.hu/blog/wordpress-oldal-biztonsag/
Egy kérdés: A htaccess fájl írásjoga/CHMOD mire volt állítva? 644-nek kéne annak a fájlnak lennie. Ha az volt és úgy módosította a támadó, akkor az tutira Dotroll sara.
Válts szolgáltatót gyorsan. Ebben az a nehéz, hogy itt már kifizetted az ellenértéket. Ha magánszemély vagy és 14 napon belüli akkor arra lehet hivatkozni
Ha elolvasod a Dotroll ÁSZF-et, akkor láthatod, hogy szó sincs 14 napos határidőről, legyél akár cég, akár magánszemély.
Az a 14 napos határidő, amit írsz, (hivatalosan elállási jog) nem minden interneten (elektronikusan) kötött szerződésre igaz, olyannyira nem, hogy az erről szóló rendelet nevesítve szedi ki a tárhely-szolgáltatóval kötött ilyen szerződést (45/2014. (II. 26.) Korm. rendelet:
29. § (1) A fogyasztó nem gyakorolhatja a 20. § szerinti jogát
a) a szolgáltatás nyújtására irányuló szerződés esetében a szolgáltatás egészének teljesítését követően, ha a vállalkozás a teljesítést a fogyasztó kifejezett, előzetes beleegyezésével kezdte meg, és a fogyasztó tudomásul vette, hogy a szolgáltatás egészének teljesítését követően felmondási jogát elveszíti;
Ez magyarra fordítva azt jelenti, ha kérted, és a szolgáltató megkezdte a szolgáltatás nyújtását, akkor nincs elállási jogod sem 14 napon belül, sem azon túl.)
Két lehetőséged van:
1. Megírod, hogy milyen okból vagy elégedetlen a szolgáltatással, és kéred, hogy bontsák fel a megkötött szerződést, és fizessék vissza a díjat, illetőleg annak arányos részét.
(A szolgáltató vagy belemegy, vagy nem.)
2. Megírod, hogy mivel vagy elégedetlen, és felmondod a szolgáltatást meghatározott időponttól kezdődően.
A szolgáltató nyújtott egy szolgáltatást (kínált, te megvizsgáltad, pl. ingyenes tárhelyén, vagy leírások alapján), de azt nem a minta, vagy leírás szerinti tartalommal teszi, akkor a felmondás után követelheted az időarányos visszatérítést, de neked kell bizonyítani, hogy mikor, hogyan, miképpen szegte meg a szolgáltató a vállalt kötelezettségeit.
Összefoglalva: a tárhely-szolgáltatóknál kötött szerződések esetén nincs törvényileg előírt elállási jog (nem keverendő a szolgáltató által esetlegesen önként bevállalt pénzvisszafizetési garanciával), azaz nincs a 14 nap, a hibás teljesítés esetén bármikor felmondhatsz, de a hibás teljesítést neked kell bizonyítani, és sikeres bizonyítás esetén a pénzed egy részét, vagy egészét visszakérheted.
U.i.: Még egy fontos megjegyzés: ebből a szempontból mindegy, hogy a szolgáltatás igénybe vevője magánszemély, vagy jogi személy!
U.i. 2.: ha mindent megtettél, amit Andrea, Lőrincz András és Syka leírt, és továbbra is marad (vagy gyorsan előjön/ismétlődik) a dolog, akkor pucolás (akármelyik) tárhelyről!
A tárhely díjának elvesztése sokkal kisebb kár, mintha fontos adataid vesznének el, vagy éppenséggel a vásárlóid, ügyfeleid nem érnek el.
És azt is vedd figyelembe, hogy a támadásokhoz, az oldalfeltörésekhez legtöbbet mégiscsak a weboldal adminjai tesznek, pedig tehetnének ellene (bár, a leggondosabb intézkedés sem nyújt 100 % védelmet, garanciát), némi odafigyeléssel, óvintézkedéssel, folyamatos gondoskodással.
(Ha az autódat nem gondozod, elhanyagolod az olajcserét, nem gondoskodsz jó beállításokról, előbb-utóbb az úton fog hagyni. Ha nem gondozod az asszonyt, elhanyagolod, nem gondoskodsz a jótartásáról, előbb-utóbb faképnél fog hagyni, de ami rosszabb is lehet: marad, és folyton sápítozik a füledbe. )
Bocs ezt benéztem az elállással kapcsolatosan
Nincs miért elnézést kérned. Azért írtam le, mert közérdekűnek tartom. Aki webüzletet működtet (és úgy tudom, te is teszel ilyent), az jó, ha alaposan ismeri a saját mozgásterét.
Ez már az én szakterületem érintő része, így ebben jobban otthon vagyok.
Gyógyszer esetében nálam sokkal egyszerűbb, mert ott nincs elállás a jog folytán. Bár még mindig nem egészen nyílt meg, megy a próbaüzem. Csak 1 dolog hiányzik már, hogy tovább tudjak végre lépni, de az mikorra lesz meg…
“Magyarországon legálisan internetes gyógyszerértékesítést csak közforgalmú gyógyszertárak végezhetnek, ha honlapjaik címét legkésőbb a tevékenység megkezdésekor bejelentették hatóságunknak.”
Meg még milliomnyi előírás, és aki arra jár, a parkőrtől a tiszti főgyógyszerészig, az mind ellenőrizne valamit.
Tudom, abban vagyok benne, egy közforgalmú gyógyszertár egyelőre webajánlója üzemel, de hamarosan elhárul az utolsó akadály is a teljes web fele nyitás elől. Van még más egyéb feltétel is, a legegyszerűbb, bár sok időt jelent egy zászlóhasználati szerződés.
Sziasztok!
Nagyon köszönöm a hasznos tanácsokat.
Andrea olvasmányát már a poszt előtt átnéztem, abban nem leltem megoldásra.
Érdekes, hogy minden oldalon megszűntek a támadások, bár látom, hogy van olyan robot, ami próbálkozik kideríteni az admin felhasználó nevét, de azt hiszem, most viszonylag jól körbe van védve a rendszer.
Ami még jön, hogy átteszem a wp-admint más URL-re, és kap egy popup ablakos beléptetést az oldal, mielőtt a wp-admin oldalra engedne.
Azt nem tudom megmondani, hogy a gépemről bármilyen keyloggerrel szedtek-e FTP adatot, nem gondolnám, legalábbis nem találtam erre utaló jelet.
Mindenesetre most figyelem az összes oldal forgalmát, ha bármi gond lesz, akkor új tárhely után kell nézni.
Szép napot!
Örülünk, hogy jó útra térni látszik honlapod!
Áruld el, mások okulására is, hogy mit tettél vele, ha nem azokkal a módszerekkel operáltál, amit Andrea a kiadványában össszefoglalt.
Köszi előre is!
Most kerültem ebbe a helyzetbe én is
Az index.php fájl mérete a 430B-ról 80KB lett, átírták a htaccess-t, ráadásul 444-re állították. Egyébként az oldalon semmi nem látszik, minden működik, csak a Google szólt, hogy szerinte feltörték, akkor néztem rá jobban. A google keresésnél láttam, hogy ott a gond. "fairyquilt’ illetve az oldal “fairyquilt.net”.
A tárhelyszolgáltató - Hostgator - azt javasolta, hogy vegyek havi sokért tűzfalat. Illetve a support szerint az én cpanelem-be építettek backdoor-t.
De nem jutottam dűlőre velük, mert szerintem az “én cpanelem” nem létezik, hiszen amikor belépek, tőlük kapom, azaz náluk kell lenni valami prücöknek, nem nálam. A gépemet átvizsgáltam szerintem rendben van.
Vaszilij: igazán érdekel, hogy mi mindent csináltál, hogy most rendben vagy.
Andrea és Syska ajánlásait már áttanulmányoztam, most éppen ott tartok, hogy másodszor fogom újratenni az egészet, de semmi nem lesz, csak egy szűz WP és az akismet. Megnézem, hogy ilyenkor mit csinál.
Köszi a választ előre is!
És még az admintól kérdezem, hogy mit jelent nálam a “Figyelmeztetés státusz”?
Sziasztok!
Az az igazság, hogy remek alapot nyújtottak a linkelt doksik, csak konkrétumot nem találtam, hogy na akkor most mi legyen.
Amit én csináltam. Nekünk 5 oldal fut ezen a tárhelyen, szerencsére tartalom nélkül volt, így törölhettem mindent.
- Letöröltem a teljes tartalmat és az adatbázist
- újratettem a WP-t, minden oldalra új adatbázis, egyedi admin nevet használtam generált jelszóval
- egyből rá a WordFence plugint a WP-re
- Futtattam a Scant, blokkoltam az összes IP-t, ami nem odavaló
- Ezután feltettem a szükséges plugineket
- .htaccess-ben letiltottam a könyvtárak nézegetését ([font=Consolas, Menlo, Monaco, Lucida Console, Liberation Mono, DejaVu Sans Mono, Bitstream Vera Sans Mono, Courier New, monospace, sans-serif:33hklqqd]Options -Indexes)[/font:33hklqqd]
[font=Consolas, Menlo, Monaco, Lucida Console, Liberation Mono, DejaVu Sans Mono, Bitstream Vera Sans Mono, Courier New, monospace, sans-serif:33hklqqd]Amit még továbbra sem tettem meg, de hamarosan:[/font:33hklqqd]
[font=Consolas, Menlo, Monaco, Lucida Console, Liberation Mono, DejaVu Sans Mono, Bitstream Vera Sans Mono, Courier New, monospace, sans-serif:33hklqqd]- wp-admin oldalt más linkre tenni[/font:33hklqqd]
[font=Consolas, Menlo, Monaco, Lucida Console, Liberation Mono, DejaVu Sans Mono, Bitstream Vera Sans Mono, Courier New, monospace, sans-serif:33hklqqd]- WP bejelentkezés előtt popupos bejelentkezés ([/font:33hklqqd].htpasswd)
Továbbra is jön be külföldi forgalom a wp-admin oldalra, emiatt szeretném más linkre tenni.
Tegyük hozzá, hogy nekem óriási szerencsém volt azzal, hogy még nem volt értékes tartalom az oldalon, így egyben mindent kidobhattam.
Amit a korábbi sztoriból kihagytam, hogy az oldalam fennakadt a tárhely szűrőjén ezzel a fájllal:
class-snoopie.php
Valahogy ez a fájl felkerült a tárhelyre… (az eredeti fájl class-snoopy.php), mellette fent volt az ie.php végű is, valószínűleg itt kezdődött az egész.
Amit a korábbi sztoriból kihagytam, hogy az oldalam fennakadt a tárhely szűrőjén ezzel a fájllal:
class-snoopie.php
Valahogy ez a fájl felkerült a tárhelyre... (az eredeti fájl class-snoopy.php), mellette fent volt az ie.php végű is, valószínűleg itt kezdődött az egész.
Akkor már tudod, hogy valahogy kikerült (feltehetően) az ftp jelszó, noha más módon is el lehet fájlt helyezni. Változtasd meg az ftp-d jelszavát, biztos amit biztos még.
Vaszilij: Mit tudsz erről?
Feltettem a Wordfence-t, most ezt írja:
…/plugins/wordfence/lib/wordfenceHash.php on line 141 0
Ez mi lehet? Másik oldalamra is felkerült, ugyanez a helyzet.
Azt írja a support, hogy frissítési bug, hamarosan megoldják:
https://wordpress.org/support/topic/version-6112-undefined-index-coreunknown