Sziasztok,
Tegnap este találtam a user táblámban 6 adminisztrátor accountot rajtam kívűl.
Nem sima regisztrációval került az oda mert alapbol nem lehet regisztrálni az oldalra csak egy membership pluginon keresztül ami értesítést küld ha uj felhasználó regisztrált. De nem küldött.
Az oldalt Ithemes security védi ami hát fogjuk rá szuperül működik hála Andreának és Győzőnek érteérte:)
Tudtok tanácsot adni hogyan védhetem meg az ilyen betolakodóktól az oldalt?
Mert a security szépen jelez ha filokat cserélnek vagy másolnak de sajnos nem minden esetben és ez az sql-re nem figyel.
Kedves Krisztina!
Meg kellene nézni a bővítmény beállítását (meg az alapbeállításra is rá kellene nézni). Úgy tűnik, mintha valamilyen szabály/beállítás azt mondaná (vagy mondta, de már javítottad), hogy a regisztrációkor kapjon a felhasználó admin jogot.
Ha egyedül garázdálkodsz az oldalon, akkor vagy az admin jogú felhasználók (a 6 db) jogosultságát állítsd át, vagy töröld őket szívfájdalom nélkül.
(Az is elő szokott fordulni, hogy az embernek övé lánya/fia szokott próbálgatni funkciókat, aztán el is felejtkezik egy idő után róla, csak egy alapos nagytakarításkor talál rá a régi darabokra.)
Szia Győző, megnéztem a log filet nem volt rendes regisztráció az időben semmi. A felhasználói nevek root, administrator, admin, localhost, localadmin, rootadmin nevek voltak localhost@local email címmel. Mindegyik regisztráció 2 másodperc alatt történt.
Egyedül vagyok az oldalon, azonnal töröltem őket. Ilyen hamar regisztrálni 6 admin accountot nem lehet csak valami mittomén hogy:) Ezért gondoltam azt, hogy filemásolás vagy valami nem történt most átnéztem minden filet szinkronizálással tehát gondolom én az sql táblába írtak bele pik-pak. Gondoltam most jelszót cserélek de nem tudom mi fog történni ha átirom az adatbázis jelszavát. Milyen filban kell átirnom ha megváltoztatom a jelszót? Csak a wp-config.php ban? Esteleg máshol is?
Nagyon nem jó… Évek óta nem tapasztaltam olyat, hogy az adatbázist b@szlatták a hackerek.
Ötletek:
- Lehet, hogy használsz valamit, amiben sebezhetőség van.
- Lehet, hogy gyenge szolgáltatónál vagy és szerveroldalról mennek be.
- Lehet, hogy a gépedről lopják a hozzáférési adatokat és úgy garázdálkodnak.
Egyben biztos vagyok: a rendszered még mindig nem tiszta.
Abban igazad van, a 2 másodperc arra utal, hogy valami script csinálta.
A kérdésedre: igen, csak a configban kell átírnod.
Egy még eszembe jutott, egyszer cgi bűvészkedésbe futottam egy oldalnál.
Tehát, ha van cgi-bin könyvtárad, akkor kukkants bele.
Ha te nem teszel oda semmit, akkor rendszerint üres.
Szia Andrea
Akkor hamarosan törlök plugint és ujra felmásolok mindent tisztán hátha van valami ott bár ezt már egy honapja megtettem amikor ithemes seurityt kapott az oldal.
Van egy cgi-bin könyvtár én elvileg oda nem tettem semmit de 2014.05 dátummal van 4 file benne amit nem tudok elolvasni mert †@ ilyen hülye jelek vannak benne.
Ezek a nevük.
cgiecho
cgiemail
entropybanner.cgi
randhtml.cgi
Szerinted gáz lehet?
Amugy én azt szoktam csinálni, hogy letöltöm a komplett tárhelyet a gépemre és ha van valami script akkor általában a virusirtom jelez, hogy nem tetszik neki és az eddig mind olyan file volt amit nem én akartam hogy ott legyen.
Mentsd el magadnak, és a tárhelyen töröld őket. Ha semmi nem akadozik, akkor nem is kellenek oda. 
Ezek a fájlok egyes tárhelyszolgáltatóknál, pl. Hostgator, belekerülnek (de még akkor, amikor kapod a tárhelyet), de nem kell a rendeltetésszerű működéshez.
A windows vírusírtók a lilo-nál is jeleznek. Az a linux operációs rendszer egyik bootoló programja.
Itt leírtam az általános helyes eljárást:
http://kozosseg.wphu.org/topic/12237-fert%C5%91z%C3%B6tt-oldal/#entry68521