Wordpress - wirusy na serwerze

[Yourek 0]

Witam,

Mam stronę internetową opartą na WordPress. Na serwerze pojawiają mi się dziwne katalogi typu "zd4kc" itp. W niektórym katalogach pojawiają mi się też pliki PHP o losowej nazwie np "dx8dsc.php" itp.  Zdarza się też, że pojawiają się pliki "index.php" w różnych katalogach o zawartości np "@include "\057va\162/w\167w/\166ho\163ts\05734\05716\06165\062/w\145bs\160ac\145/h\164tp\144oc\163/r\157ot\0577r\1611w\063s/\143ac\150e/\056c5\062b3\0608f\056ic\157";

Czy ktoś miał z czyms takim do czynienia? Wiecie może co jest przyczyną takiej sytuacji?

Z panelu administracyjnego Wordpress'a usunąłem niemal wszystkie wtyczki, zablokowałem możliwość dodawania komentarzy na stronie i aktualizuję Wordpress'a jeśli wyjdzie nowa wersja. 

Na serwerze mam wersję PHP 7.0.33

 

Z góry dziękuje za pomoc.

Pozdrawiam.

[doman18 52]

Gdy zajmowałem się WP ładnych parę lat (5-6?) temu to miałem to samo. Nie pamiętam przyczyny ale wiem że podejrzewałem plugin który pozwalał używać php w widgetach tekstowych.

Ja się tego pozbyłem tak że ściągnąłem całą stronę, i jakimś programem (niestety wtedy jeszcze używałem Windowsa) zamieniłem wszystkie wystąpienia includów na podstawie jakiegoś powtarzającego się ciągu znaków. I te katalogi też jakoś masowo skasowałem ale nie pamiętam jak. Musisz namierzyć wszystko, nawet jeżeli jedno zostanie to będzie nadal problem. Sprawdź też bazę.

Druga sprawa to zabezpieczenia: jeżeli to jakiś vps to upewnij się że katalog www ma właściwe uprawnienia, żeby nie było że masz 777  Musi być coś w stylu 760 i user oraz grupa typu "apache" albo "www-data" w zależności na czym stoi sam serwer.

Do tego mocne hasła, captcha i opóźniacze+dzienne blokady przy błędnych hasłach (żeby ci nikt bruteforcem nie próbował tego łamać) to podstawy. 

 

[Yourek 0]

Dzięki za odpowiedź.

Uprawnienia na katalogach i plikach mam 755. 

Co ciekawe, zauważyłem że nawet niektóre pliki samego Wordpress'a są modyfikowane. Wtedy nawet ciężko pobrać na dysk i sprawdzić bo antywirus od razu je usuwa. Wtedy sprawdzam bezpośrednio na serwerze w edycji plików. Niestety kończy się to na podmianie całego pliku z kopii zapasowej lub oryginalnej instalacji Wordpress'a.

No nic, będę walczył dalej. Może w końcu uda mi się dojść do źródła problemu.

[doman18 52]

No to jak ręcznie szukasz i zamieniasz to od razu ci mówię że nie dasz rady. U mnie było tego sporo. Jak się boisz o swoją maszynkę zrób wirtualkę z windowsem w virtualboksie, wyłącz na niej antywira i tam ściągnij i dłub. Musisz to jakimś automatem przeczesać bo inaczej utoniesz. Jeżeli hostujesz na VPSie czyli masz ssh to bashem byś to ogarnął (komenda sed w jakiejś pętli po katalogach). Tylko musisz sobie na sucho potestować.

I koniecznie sprawdź bazę.

[januzi 24]

Do przeskanowania plików możesz użyć wordfence. Porówna on skład wtyczek i szablonów z tym, co masz na serwerze i pokaże te, które mają dodatkową zawartość. Z plikami w uploads też powinien sobie poradzić.

Przy szukaniu wirusów lokalnie użyj programu astrogrep

1. w katalogu uploads, niech szuka plików zawierających <?php

2. Jeśli znajdziesz jakiś plik zawierający wirusa (długi ciąg losowych znaków na początku pliku), to kopiujesz fragment i szukasz w wp-content

Jak już masz wtyczki, upload i szablon czyste, to wywalasz wszystko z ftp na serwerze, wgrywasz czystą kopię wordpressa + wp-content ze swojego dysku.

Potem aktualizujesz szablon i wtyczki.

[adam.lachut 0]

Yourek,

W jednym zdaniu: nieduże szanse, że skutecznie samodzielnie rozwiążesz problem, ale jeżeli pominiesz większość "porad" napisanych powyżej, możesz spróbować w takiej kolejności:

1. backup, 2. blokada dostępu www (np. w .htaccess, na pewno nie za pomocą wtyczki w WP), 3. sprawdzenie zadań cron (jeżeli masz dostęp) i podejrzanych procesów (jeżeli masz dostęp), 4. usunięcie dodatkowych plików i usunięcie modyfikacji z pozostałych plików, 5. usunięcie ew. modyfikacji w bazie danych, 6. reset haseł (WP, baza danych) i 'saltów' w wp-config, 7. aktualizacja wtyczek jeżeli są w wersjach z podatnościami, 8. opcjonalnie utwardzanie (np. zmiana adresu logowania z jednoczesnym przyblokowanie bezpośredniego dostępu do xmlrpc.php i wp-login.php)

Wordfence będzie bardzo pomocny, o ile: 1. na Twoim koncie hostingowym będziesz mógł wykonać kompletne skanowanie (wszystkie pliki) - kwestia zasobów/parametrów, 2. Potrafisz zinterpretować wyniki tego skanowania.

 

Adam