Törölhetetlen php script

Sziasztok,



Megfertőzték a wordpress plugin könyvtáramat egy ini.php file-al amit se törölni se átnevezni, move-olni a lomtárba nem sikerül:( A file permission 000 hiába írom át, hát ha így tudom törölni nem sikerül. Próbáltam felülírni de nincs jogosultságom hozzá. Tudtok nekem tanácsot adni mit tegyek vele? Küldözgeti az emaileket a script.

  1. Kérd meg a tárhelyszolgáltatót, hogy törölje (a 000 azt jelenti, hogy sem olvasási, sem írási, sem futtatási jogod nincs. Hacsak nem VPS-ed van, csak ők tudják törölni.
  2. Nevezd át a fölötte lévő könyvtárat valamire, hozd újra létre az eredeti névvel a könyvtárat, tegyél át oda mindent, ami kell. (A pontos elérési útvonal hiányában nem fog futni a fájl, legalábbis addig, amíg újra be nem mennek, ha úgy rakták fel, hogy bementek).
  3. Tedd biztonságossá a rendszered. Pl. Wp all in one security.

Szia Andrea, köszönöm a segítséget, meg is kértem a szolgáltatót törölje.

Írtad tegyem biztonságossá a rendszert. Nos én azt hiszem mert ez már nem az első eset, hogy nem jönnek be hanem külsőleg másolnak fel filokat. Pl. rendszeresen a cache könyvtárba egy egyszerű spam küldő scriptet, amit egy cache ürítéssel meg is tudok szüntetni. Ám ez nem nyugtat meg. Szeretném én is valahogy biztonságossá tenni az oldalt de őszinte leszek én ezekben a site security csodákban nem hiszek. Úgy érzem nekem egy olyan valami kéne ami jelzi, hogy egy új file lett felmásolva és törölném rögtön. Vagy valami külső másolás elleni védelem vagy bármi. A login tiltás és egyéb amiket tud ez a plugin nem hiszem, hogy segít rajtam.

Baromira mindegy, hogy bemennek vagy nem. Nem ezen múlik.

100%-os védelem nincs. Ez a bővítmény sem csoda. Kb. 98%-ot javít a biztonságon, ha megfelelően be van állítva. És van benne injection védelem is. Meg admin értesítő is.

Csak kicsit alaposabban meg kellene nézned…

Nincs olyan szolgáltatása véletlenül a tárhelyszolgáltatódnak, hogy értesít a megadott email címen, ha a fájlrendszerben módosítás történik?

Az általam használt Maxer.hu-nak van ilyen ingyenes szolgáltatása. Nézd meg a Control Paneleden, vagy a Control Centeredben, vagy valami hasonlóban.



Egyébként, jobban teszed, ha elfogadod Andrea véleményét; ő segíteni akar neked, ért is hozzá, meg igaza is van. :slight_smile:



Édesmindegy, hogy te hiszel-e vagy sem a biztonsági bővítményekben, mert egészen biztos, hogy hiányuk esetén könnyed préda lehet az oldal. Legalább adj esélyt magadnak, illetőleg a honlapodnak.



Amikor napi ezer beírás történik az oldaladra, megbolondulsz a törlés helyreállításban (még 100-nál is). Nem okosabb megelőzni?

Szia Győző,



Adok Andrea tanácsára már fut a cucc localhoston, tesztelem mielött kiélesítem de nem igazán vagyok tőle eragadtatva. Jó sok minden tud ami nem kell, engem meg hideg ráz az ilyen all-in-one mindentudok ami nem kell bővítményektől. Nem tudok én sem okosat, hogyan jobban védjem az oldalt a külső másolástól mert valahogy tuti kívűlről teszik fel a cuccost vagy a szerveren keresztűl bár foggalmam sincs. Regisztrált user nem hinném mert nem free ez a site. Megnéztem a cpanelem is hát nem találtam ilyen értesítő funkciót vagy bármit. Minenesetre 2 módon akaroma védelmet megoldani egy, hogy megvédjem valahogy, 2 hogy azonnal értesűljek arról, hogy uj file van a szerveren. Így ha a védelmet sikerült kijátszania legalább tudjam mit keressek aminek nem kéne ott lennie és törlöm azonnal, már ha van rá jogom:) De majd meglátjuk mire jutok ezzel a pluginnal.

Ja és még valami. Napokban agyaltam azon, hogyan juthatnak be és vettem észre azt, hogy elsőként a cache könyvtárba tesznek fel egy php filet aztán egy másikat a wp könyvtárakba. Ezt sikerült letöltenem, belenéznem és amit értettem belőle, hogy replace-t futtat végig karakterekre és a számokra. Gyanúm, hogy jelszót szerzi meg vele az ftp hez de ez csak egy ötlet és talán a legeleső, leglogikusabb találgatás. Ezután jön egy harmadik file amit szintén valahova bedob egy állnéven .php ez meg maga a cucc ami küldi a spam emailt de nem a használt email címről mert azt gondolom hamar észrevenném hanem a mail könyvtár alapértelmezett cur és new mappákba generál emaileket milliónyit, amit ugye a szerver szépen ki is küld.



Tehát én ezért gondoltam arra, hogy az all in one security nem éppen a legjobb most hanem valami filemásolás védelem és értesítő kellene.

Amit leírsz, abból nekem az a gyanúm támadt, hogy fertőzött lehet az állományod, ezért lehet az, hogy újra, és újra visszaírja magát, és úgy tűnik, mintha valaki a cache állományba kezdene el valamit bepakolni…



Én letörölném az összes fájlt (a wp-config.php kivételével), majd mindenből a legfrissebbet visszatölteném.



A nem használt sablonokat (egy alapsablon kivételével), valamint a nem használt bővítményeket letörölném. Gyakran a nem használt, régi, nem karbantartott bővítményeken/sablonokon keresztül történik behatolás, mert azok hibái közismertek azok között, akiknek az ilyen szórakozást, élvezetet jelent.



Úgy emlékszem, ennek a bővítménynek van olyan funkciója, hogy figyelmeztet, ha módosulnak a fájlok: https://wordpress.org/plugins/better-wp-security/

Pontosan ahogy írod, cache könyváron keresztül töltenek fel nem kívánt filokat. Én már megcsináltam azt, hogy töröltem a wp-t helyére tiszta új filok kerültek, átnéztem egyesével a pluginokat, az utolsó byte-ig összehasonlítottam úgy vélem tiszta a site.

Ahogy írod is valakinek szórakozása, hogy engem boldogít havi egyszer kb… Megnézem a bővítmény javaslatod hátha jónak tűnik. Sokat kipróbáltam már localhoston de hát nem igazán tűntek jónak. Még keresgélem én is a legfapadosabb megoldást de sajnos úgy tűnik nem járok sikerrel vele. Nem szeretem az all in one megoldásokat. Azért köszönöm a segítségeteket, neked is Andrea külön mert jók amiket írsz az oldalon.

Győző,

Ez isteni cucc:) Kipróbáltam mindkettőt, hát ez fantasztikus. Eddig, de nem kiabálom el.

Gyönyörűen testre szabtam vele ahogy én azt megálmodtam vagy még annál is jobban konfigurálható és pont azt csinálja amit kell. Hálás köszönet érte.

Segítség: (



Kizárt engem az oldalam. iThemes Security üzenete ma reggel: admin have been lockced out too many bad login attempts.





Most mit csináljak? Nem tudok belépni:(

Ezek szerint tényleg nagyon jól sikerült a beállítás… :slight_smile:



Kérj egy új jelszót magadnak, vagy a phpMyAdmin segítségével csinálj új jelszót magadnak (http://blog.wphu.org/2012/04/16/hogyan-csereljunk-vagy-modositsunk-jelszot-a-wordpress-ben-a-phpmyadmin-segitsegevel/)

Ne röhögj Győzőőőő :slight_smile: Nem én vagyok szerintem az egyetlen szőke aki kizárta magát vele:)



De visszaengedett 15 perc után, aranyos.



Amugy meg a plugin a hülye mert Lock-olja a usert is meg az IP-t is. Na már most ha admin ugye a felhasználónevem és azzal próbálkoznak botok betörni akkor kitilja az ip címük meg engem is az adminnal accountal. Lehetne benne annyi IQ hogy admin accountal white ip címről beengedjen. Mert a fals ip-t kéne tiltani és nem az admin accountot lockolni. Meg kéne váltorztatni úgyérzem az admint de nem merem. Túl nagy az adatbázis.





Jó a cikk be is dobtam a kedvencekhez.

Mered - nem mered, szó szerint butaság az admin felhasználónév. (Régen ez volt az alapértelmezetten létrehozott user, így az összes bot megpróbálja ezzel törni, meg a hackerek is bepróbálkoznak a felhasználónévvel.)

Jobban jársz, ha sürgősen megváltoztatod. Csak az users táblában kell átírnod.

simán csak átírom pityipalkora és ennyi? Ha sikerűl befolyásólhat bármi plugin vagy akármi működést?

Az, hogy az eddigi admin név helyett KrisztinaKutyaGazda lesz a névtábládon, és ha zárat cserélsz az ajtódon (értsd: jelszót cserélsz), attól még a lakásban senki nem rak rendet, amíg távol vagy. :wink:



Tehát, nem változik semmi.



De, ha biztosra akarsz menni, akkor hozzál létre egy zsír új admint, valami eszeveszett névvel és jelszóval, azzal lépj be az oldaladra, ha az sikeres volt, akkor vagy távolítsd el a régi admint, vagy a phpMyAdminnal változtasd át. Ha elcse…, akkor még mindig marad egy titkos aduász a kezedben, egy másik adminisztrátor. :slight_smile:

Átirtam tegnap este az admint egy masik nevre de nem jártam sikerrel. Mig adminnal 1 kizárás volt úgy az új felhasználónévvel csak éjjel 75 üzenet érkezett hogy lock-olt a site az uj névvel. 10 bad login után tílt 5 percre ez azt jelenti 750 kisérlet volt az éjjel az uj névvel. Gondolom a postokból szedte ki a bot az uj nevem. A megjelenített név megmaradt a régi. Na mindegy, végülis amit szerettem volna azt nagyából el is értem ezzel a bővítménnyel legalábbis eddig nagyon szuperül üzemel. Ez is több mint ami volt biztonság az oldalon. File csere kisérlet is volt de a bővítmény megakadályozta szépen. Reméljük minden jó lesz.

Csökönyös vagy, mint egy igazi asszony! :slight_smile: :slight_smile:



Teljesen új admint hozzál létre más névvel, más megjelenítési névvel, más jelszóval. Ha azzal jön a támadás, akkor majdnemm biztos lehetsz benne, hogy nem sikerült kitakarítanod a behatolót, és akkor - tetszik, nem tetszik - le kell mindent pucolnod fájlszinten, majd eredeti forrás letöltése után mindent visszaállítani.



Mivel minden adat az adatbázisban lakik, nem kell attól félned, hogy a fájlrendszer cseréjével elveszted a tartalmakat.



Nem tudom, mennyi bejegyzés van a honlapodon, de nem elképzelhetetlen egy teljesen új adatbázisssal (és új prefix-szel) történő megújítás sem. Ha kevés, akkor nem kell sajnálni, ha sok, akkor kicsit sz@rabb a helyzet.

Remélhetőleg van olyan korábbi állapotról mentésed, amikor még nem volt támadás, amikor még tisztának vélhető minden, akkor ezt a helyzetet kell célszerűen visszaállítani, még ha van némi veszteség, akkor is jobb, mint állandó támadás-elhárítás.

Ha egyszer az ellenség keze betette a lábát, akkor előbb-utóbb pusztítás lesz a vége… :frowning:

30 másodpercenként külömböző ip-ről jön egy login kisérlet egy valamilyen névvel. Admin névvel most nincs kisérlet. Lehet igy hagyom. Ha bot csinálja, márpedig tuti bot csinálja a login kisérleteket akkor ahogy létrehozom az uj admint azt is megtalálja és azzal is fog kisérletezni. Azt irják a neten boklászva fedeztem fel, hogy a login oldalt is felesleges megváltoztatni mert a metából ugyis megtalálja a bot. Ugyanugy mint az uj admint is megfogja mert a posztokban admin a létrehozó. Adatbázis tisztának tünik mert korábban már osszehasonítottam egy mentéssel, átvizsgáltam a kódokat, nem tünt semmi gyanúsnak. A másik kis portfolio oldalammal is ez a helyzet, oda is feltettem a plugint éles tesztre. Azt is támadják a botok login kisérlettel. Szerintem ez ellen nem fogok tudni védekezni. Google ből ugy is megtalálják.

A posztoknál megjelenő nevet szabadon megváltoztathatod: http://prntscr.com/7q5zlg

Ezt követően nem fogja tudni a login nevet a bot.



Amúgy, hogy sikerül, hogy ennyi oldalad támadják? Nekem tucat oldalam van, de összesen nincs ennyi támadás. :slight_smile: