Убедитесь, что я полностью удалил взломанный WordPress?

Мой взрослое блог WordPress на http://fakeplasticrock.com (запуск WordPress 3.1.1) получил взломанный – он показывал <iframe> на каждой странице:

 <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> 

Я сделал следующее

  1. Обновлен до версии 3.1.3 через встроенную систему обновления WordPress
  2. Установлен сканер Exploit (много критических предупреждений о необычных файлах) и AntiVirus (это показало все зеленые и чистые, поэтому я удалил и удалил его после запуска)
  3. Изменен пароль MySQL.
  4. Изменены все пароли пользователей WordPress.
  5. Подключен по FTP и загружает всю файловую систему (неважно, это общий хост на базе только для WordPress)
  6. Разместил файловую систему с официальным ZIP WordPress 3.1.3 и удалил или перезаписал все, что не соответствовало.

Я совершенно уверен, что

  • все файлы на диске являются официальными файлами WordPress 3.1.3
  • на диске нет «лишних» файлов, кроме моего одного /theme , плагина Exploit Scanner (который я только что загрузил), папки /uploads и крошечной части других ожидаемых файлов. Мой другой плагин wp-recaptcha соответствует текущей официальной загруженной версии.
  • Я также проверил файл .htaccess и ничего не получилось.

wordpress 3.1.3 сравнение файлов в Beyond Compare

Я не касался базы данных , но я боюсь думать, что что-то в базе данных может быть вредоносным без специального кода PHP, чтобы заставить его работать?

Мой блог WordPress выглядит нормально и теперь без взлома (я думаю), но есть ли что-нибудь еще, что я должен проверить?

Solutions Collecting From Web of "Убедитесь, что я полностью удалил взломанный WordPress?"

Вы идентифицировали вектор эксплойта? Если нет, вы можете оставить себя открытым для будущего использования.

Другие вещи, которые необходимо учитывать:

  1. Изменение пароля пользователя администратора WordPress – сделано
  2. Изменить пароль пользователя учетной записи хостинга
  3. Изменение паролей FTP
  4. Изменение пароля пользователя MySQL db – сделано
  5. Изменение префикса таблицы db
  6. Обновите wc-config nonces / salt
  7. Проверьте права доступа к каталогу / файлу
  8. Блокировать доступ к каталогам, через .htaccess
  9. Пройдите все в записи Hardening WordPress Codex
  10. Пройдите все в FAQ FAQ Мой сайт был взломан Кодекс

Глядя на сообщение «безопасный просмотр» в Google Chrome, вы получаете «.cc iFrame hack», который, похоже, собирается в последнее время. Я думаю, что 3.1.3 это исправит, но проверьте ваш файл index.php в корне, если ваш сайт, вот где он продолжал бить меня, пока я не получил ВСЕ обновленное, а пароли изменились.

Есть некоторые ОЧЕНЬ хитрые вещи, которые люди могут делать с инъекциями сообщений и комментариев. Вы можете запускать следующие запросы к своей базе данных, чтобы помочь найти некоторые из них. Я записал остальную часть своего «отслеживания» здесь .

 SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%' UNION SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%' UNION SELECT * FROM wp_posts WHERE post_content LIKE '%display:%' UNION SELECT * FROM wp_posts WHERE post_content LIKE '%<?%' UNION SELECT * FROM wp_posts WHERE post_content LIKE '%<?php%' 
 SELECT * FROM wp_comments WHERE comment_content LIKE '%<iframe%' UNION SELECT * FROM wp_comments WHERE comment_content LIKE '%<noscript%' UNION SELECT * FROM wp_comments WHERE comment_content LIKE '%display:%' UNION SELECT * FROM wp_comments WHERE comment_content LIKE '%<?%' UNION SELECT * FROM wp_comments WHERE comment_content LIKE '%<?php%' 

Надеюсь это поможет!

База данных также может содержать вредоносный код: скрытые учетные записи пользователей или значения, которые где-то не распечатываются. Кроме того, проверьте каталог загрузки файлов, которые там не принадлежат.

О, и попытайтесь понять, как злоумышленник нашел свой путь на ваш сайт. В общих учетных записях часто используется весь сервер. Проверьте другие сайты на сервере для взломанных блогов или других страниц. Прочитайте свой FTP-журнал. Если вы не знаете, как это произошло, вы не можете предотвратить следующий перерыв.

К сожалению, вы слышали, что вас взломали – похоже, вы сделали прекрасную работу по восстановлению!

Ваша файловая система звучит золотисто, я бы не сказал, что здесь есть что-то еще.

Я бы подумал, что Exploit Scanner выдаст предупреждение, если найдет в вашей базе скрипты, iframes, PHP (хотя и опасные, если eval'd), или другой необычный код.

Я не уверен, проверяет ли он таблицы, отличные от сообщений и комментариев, может быть стоит проверить /wp-admin/options.php для быстрого взгляда и посмотреть, не заметили ли вы что-то странное.

Я бы также проверил вашу таблицу пользователей в клиенте MySQL (пользователи могут находиться в базе данных, но не видны в админе).

Проверьте инструменты Google для веб-мастеров на две вещи:

  • убедитесь, что ваш сайт не был помечен как скомпрометированный, и запросите повторную проверку, если он
  • проверьте свой сайт как робота Google и убедитесь, что спам не вставлен, что видно только для робота Googlebot – примером этого является взлом WP Pharma

Кроме того, я бы повторил эту тему или тщательно ее проверил. Несколько строк PHP могут переопределять основные функции PHP, чтобы они извлекали вредоносный код из базы данных, особенно таблицы хранения ключей / значений wp_options

Поиск в базе данных через phpmyadmin для «iframe» или сброс базы данных и поиск текста.

И проверьте наличие невидимых пользователей в таблице users; Я видел пользователей в таблицах, которые не отображались в WP Admin >> Users.

Чистые параметры «Плагины WordPress покажут, что в старой базе данных осталось нежелательное от старых и, возможно, уязвимых плагинов.

В вашей теме также отсутствует <head> , поэтому я бы это проверить, если вы отредактировали тему, чтобы удалить плохие ссылки.

И обычное: и как найти бэкдор в взломанном WordPress и Hardening WordPress «WordPress Codex

«Есть ли что-нибудь еще, что я должен проверить?» Вам нужно изучить ваш процесс и узнать, как вы были взломаны (почти наверняка, потому что вы не исправляли вовремя или правильно) и исправить это тоже, а не только симптомы.

Это случилось со мной однажды, через утечку на mediatemple. Мне пришлось написать плагин для проверки базы данных для впрыскиваемых ссылок. Вы можете схватить его здесь как github gist .

Он очень удобен для пользователя, имеет несколько шагов, обеспечивающих обратную связь и повторную проверку вашей базы данных после завершения.

Удачи!

У меня был очень похожий хак, который я должен был зафиксировать на одном из моих клиентских сайтов.

В файловой системе были вредоносные скрипты (php base64_decode stuff). Однако таблицы базы данных «сообщения» и «комментарии» были скомпрометированы, а код iframe был разбросан по этим данным.

Я бы хотя бы провела несколько поисков в БД, чтобы быть в безопасности. 🙂

Проверьте свои плагины! До сих пор в этом году было выпущено 60 версий эксплойтов из плагинов .org, я бы заподозрил, что реальное число будет намного выше, поскольку никто не делает это на полную ставку.

Вы указали, что у вас есть только один плагин, ну, у него есть дыра в безопасности (не уверен, как долго он отсутствовал, и это может быть не вектор).

сор-Recaptcha-плагин
Эксплоит был выпущен: 2011-03-18
Версия для эксплойта: 2.9.8

Автор заявил, что он переписал версию 3.0, но упоминание об исправлении безопасности отсутствует.

http://www.wpsecure.net/2011/03/wp-recaptcha-plugin/

Журнал изменений: http://wordpress.org/extend/plugins/wp-recaptcha/changelog/

Я использую облачный сервер и имею случайные wacky номера порта ssh no ftp вообще. Пароли чрезвычайно сложно взломать. Все права доступа root полностью лишены. Я согласен с тем, что WordPress не будет вашим преступником. Еще одна вещь, которую нужно проверить – это сеансы ftp, которые не закрываются, вирус на вашем персональном компьютере (помните, что вы можете загружать файл на свой сайт и кто когда-либо загружает этот файл, может получить тот же вирус), также не сохраняйте свои пароли на общедоступных сайтах или в частных сайты всегда правят их на бумаге ни на одном документе или в блокноте.

Наконец, спросите своего хоста, были ли у них недавно нарушения, поскольку они должны иметь настройку брандмауэра

Проверьте дату ваших файлов. Ни один файл не должен иметь данные изменения, более новые, чем ваши последние изменения / установки!

Но и это может быть подделано. Самый верный способ быть уверенным в том, чтобы сравнить (например, хэш-сравнить) все файлы с исходными установочными файлами.