xisicongatarc, backdoor és a .htaccess

Nekem is összegyűlt az évek alatt nem egy wp weboldalam, de egyetlen egyszer volt ilyen problémám. Mostanában egyszer sem.

A szervert törik fel vagy ellopják a jelszót. Ne mentsd el sehova se a jelszót és akkor nem lesz baj.











Nekem 1x volt ilyen évekkel ezelőtt, de azóta jobban vigyázok és nincs gond, pedig nekem is jó pár wp-s oldalam van.

1.lehet hogy nem wp-t törik fel hanem az adatbázis jelszavad van meg neki, még rosszabb ha ennél mélyebre mennek és folyamatosan figyelnek valamivel.





2.lehet hogy van valami olyan résed ami mindig ott marad (timthumb/file feltöltést lehetővé tevő plugin/rosszul megírt sablon stbstb a lehetőségek végtelen tárháza)





3.lehet hogy a szolgáltatóddal van valami problémás beállítás (EXRTÉM NEM VALÓSZÍNŰ)





.

















Nincs 'átfogó leírás' ilyesmit illetően.





Amit tanácsolni tudok:





próbáld megtalálni hogyan jöttek be legutóbb… abból tudsz tanulni…

Szia Tamás!











Mit használsz FTP hez? Mented az FTP jelszavadat? Átnézted vírusirtóval a gépedet?











Mielőtt ismét feltetted a weboldalad, előtte megváltoztattad az FTP jelszavadat? (és az adatbázis elérhetősségét is?)











És ha igen, ezt mentetted is? (nem szabad jelszót elmenteni, SOHA! Főleg nem TC- vel, titkosítatlanul).











Hiába a weboldal újratelepítése, ha ismerik az FTP-t. Vagy ha megváltoztatod, de ugyan úgy kiolvassák, mert pl elmented TC ben.

Lőrincz András, ez nagyon fontos. Tényleg TC-t használok FTP-hez. Most azt csinálom, hogy mindig újra beírom a jelszót, mert a régi van a TC memóriájában, így azt gondolom, hogy ez biztonságosabb.











Ha Dw-vel dolgoznék csak, az biztonságos?

A server-em kiszolgálójának blogja szakembereknek biztos segít. Én szinte semmit nem értek belőle: http://maxer.hu/blog/figyelem-tinymce-es-flv-player-biztonsagi-res/

Én úgy használom a Total Commandert, hogy mester jelszót is beállítok neki (és még így sem mentem el a jelszót, általában FTP-n megadok mindent kivéve a jelszót, és amikor kapcsolódok, akkor kéri a jelszót és bemásolom, nem is gépelem be)











Jujj, most látom, hogy itt is írnak erről:





https://control.maxe…mmanderben.html

[font=arial, sans-serif:2eiv8qqi]Cikk a témáról:[/font:2eiv8qqi]http://maxer.hu/blog/figyelem-tinymce-es-flv-player-biztonsagi-res/











[font=arial, sans-serif:2eiv8qqi]A most felrakott friss wordpressed is tartalmazza ezt a sz-rt, amit törni fognak pár napon belül ha nem törlöd le ezeket:[/font:2eiv8qqi]











[font=arial, sans-serif:2eiv8qqi]./wp-includes/js/[/font:2eiv8qqi]





[font=arial, sans-serif:2eiv8qqi]tinymce[/font:2eiv8qqi]





[font=arial, sans-serif:2eiv8qqi]./wp-includes/js/tinymce/[/font:2eiv8qqi]





[font=arial, sans-serif:2eiv8qqi]wp-tinymce.js.gz[/font:2eiv8qqi]





[font=arial, sans-serif:2eiv8qqi]tiny_mce.js[/font:2eiv8qqi]





[font=arial, sans-serif:2eiv8qqi]tiny_mce_popup.js[/font:2eiv8qqi]





[font=arial, sans-serif:2eiv8qqi]wp-tinymce.php[/font:2eiv8qqi]











[font=arial, sans-serif:2eiv8qqi]Helyette a ckeditor plugint kell felrakni, az jó lesz.[/font:2eiv8qqi]

Tudomásom szerint a Maxernél is és más helyen is folyik arra nézve elemzés/vizsgálat, hogy egy új, mostanában fejét felütő, járványszerű oldalfeltörés kapuja a közismert, széles körben használatos tinymce. Nem wordpress-specifikus a dolog. (ennyi belőle a nem vigasztaló, de mégis informatív hír).











A Maxer azt tanácsolja, hogy más szerkesztőre cseréljük a tinymce-t, de hangsúlyozza, hogy ez csak egy gyanú, aminek valódiságtartalmát még tesztelik.

Sziasztok!





Én 3 hónapja küzdök az oroszokkal. :frowning: Ma ismét úgy sikerült befertőzniük, hogy elérhetetlenné vált az oldalam, admin felülettel együtt. Az ftp-n keresztül kitakarítottam a szervert, tisztának “tűnik”, de bizonyosan nem az, mert lényegében eltűnt az oldalam. Egyszer már teljesen újraraktam, hamar megtaláltak megint.





Gondoltam szolgáltatót váltok, de szerintük csak továbbvinném a problémát magammal. Igazuk van?





Arra is gondoltam, hogy átviszem wp.com-ra és átirányítom a domaint, de már nem vagyok abban sem biztos, hogy ez segítene-e. De ezt mindenáron meg akarom szüntetni!!! Minden ötletnek örülnék!





Köszi!

Frissíts le minden, változtasd meg az jelszavaid. SQL-t is. Nézd meg a jogosultságok rendben vannak e. Ha mindezt megcsináltad, szerintem nem lehet probléma, mert akkor mindenkinek lenne.

Köszi! Ezeken már túl vagyok párszor. A jelszavakat naponta generálom újra meg újra. A szolgáltatóm 3 oldalas tételes listát küldött mit csináljak végig. Végigcsináltam. Többször is.





általában vírusfájlokat töltenek fel egyre másra, de tegnap már másodszor felülírtak néhány fájlt. Ezeket kitöröltem, újra feltöltöttem tiszta fájlokat, és mégis még mindig .ru-ra irányít. 3 havi naponként vívott harc után már nincs erőm, affinitásom küzdeni. Inkább menekülő útvonalat keresek.





A kérdés bennem csak az, hogy van-e egyáltalán. :frowning:

És a saját géped ellenőrizted e már?

Tiszta.

Van-e korábbi időszakról, amikor még tiszta volt, fájlrendszer-mentésed?





Legalább a .htacces és a wp-config fájl, meg a sablonról valami.











Nézd meg a .htaccess fájlodat, hogy nem ## így kezdődik-e, nem gyanúsan hosszú-e? Valahol a közepe tájára írja be magát valami szemét, és általában a fájlok elejére, vagy végére.











Minden wp fájl törlés, ftp-n felmásol a legújabb. Akkor mi a helyzet?

Igen, van, azok segítségével tartom éltben az oldalt. Ma is kaptam fertőző fájlokat, megint újraraktam a .htaccesst és most működik! Ez meglep, mert ugyanaz, amit a hétvégén is újra feltöltöttem.





De a kérdésem továbbra is az, hogy van-e menekülési útvonal és ha igen, merre. A domainre irányítás egy wp.com helyről ki tudja zárni az efféle támadásokat? Vagy a domaint is el kéne felejtenem?

Takarítsd ki a sablon fájlokat, egyesével. Dátumról, nem odavaló fájlról ismerszik meg elsősorban a fertőzés. Ha nincs egyedi megoldásod, akkor a legjonn, ha letöltöd a sablon fájlt, a szerveren lévőt letörlöd, a letöltöttet meg fel.





A többi sablonfájlt, amit nem is használsz, azt töröld ki.











A plugins könyvtárat nevezd át (pl. plugins-takarítás névre). Hozz létre egy új plugins könyvtárat. A használt bővítményeket töltsd le újra, majd az új könyvtárba tedd be őket.











Az összes többi nem wp alkönytárat töröld, vagy nevezd át.Ha vannak aldomainek, akkor azok fájljait is nevezd át.











Töröld az összes wp fájlt a wp-config kivételével, és ftp-n tedd fel a legújabb wp-t, majd lépj be a vezérlőpultra, nyomj egy közvetlen link módosítást.











Elvileg így lesz egy tiszta rendszered, és kezdheted a finomra hangolását. Pár óra munka, az biztos, de, így megmentheted az oldalt. Legalább 2-4 hetente pedig fájlmentést eltenni magadnak.

Köszönöm. Értem én, hogy ne adjam fel, szót is fogadtam Győzőnek - megint újra raktam mindent, de amellett, hogy ismételten hibával tele töltött fel. használhatatlan lett az egész, 2 órán belül(!!!) a friss wp-m is tele volt fertőző fájlokkal!!!





Kérdem én: a szerver, amin van az oldal, fertőz(ött)??? Ha szolgáltatót váltanék segítene? Vagy a domainre buknak? Vagy mi a kapu? Mivel 3 hónapja nem jövök rá és ma végképp szembesültem azzal, hogy ez megfejthetetlen marad számomra, választ még mindig sehonnan nem kapok, a fél életem pedig elrabolja a Don Quijote harc, nagyon szépen köszönöm, de befejeztem a wp-vel.





A kérdéseim persze továbbra is kérdések. Jó sok kérdőjellel mögötte.


'TamasBanki' wrote:







[font=arial, sans-serif:2hyt0oh2]A most felrakott friss wordpressed is tartalmazza ezt a sz-rt, amit törni fognak pár napon belül ha nem törlöd le ezeket:[/font:2hyt0oh2]


....








Az egész tinymce mappát érdemes törölni a wp-includes-on belül vagy csak a felsorolt fájlokat?

Ja megvan, van benne magyar nyelv is.De mégse jó. Ha szerkesztem a bejegyzést és vizuális nézetben jók a karakterek, html nézetre kapcsolva nem jól jelennek meg az ékezetes karakterek, hanem a karakter helyett más értelmetlen szimbólumok jelennek meg. Mit lehetne vele kezdeni, hogy jó legyen a magyar szöveg is?