¿Un estafador colocó un archivo remoto en un sitio web de Wordpress?

Navega tus respuestas
2

Un desarrollador anterior que he usado se ha molestado y comienza a comprometer los archivos de mi sitio web en las bases diarias (como cambiar el índice del sitio con mensajes extraños, eliminar el .htaccess, cambiar el nombre de las carpetas, modificar las tablas de la base de datos). Sospecho que mientras él estaba trabajando en el sitio, ¿colocó un lugar en la opción de archivos para obtener acceso remoto a los archivos del sitio web ?!

Debido a esto tengo: 

changed the FTP user/pass/DB pass
blocked the access from his country's IP range using .htaccess...
backed up the entire DB and the FTP files
the permissions of the files has been chmod to 644 & 755 (as required)*

Esta mañana, cuando me desperté e intenté acceder a mi sitio, me sorprendió que se negara el acceso a mi sitio ... jejeje. Cuando revisé los archivos, descubrí que modificó el .htaccess y colocó "permitir desde" su IP y "negar desde" mi IP.

Cualquier sugerencia sobre cómo resolver este problema se agradecería con mucho gusto.

* Puedo buscar con grepwin cualquier script / archivo / línea / palabra maliciosa en los archivos de respaldo que tengo, si sé qué buscar.

    
pregunta user2681779 14.08.2013 - 11:54
fuente

3 respuestas

2

Parece que tiene una puerta trasera PHP como sospechabas. Es muy poco lo que puede hacer para asegurarse de haber eliminado por completo todos los rastros de la presencia del atacante. Puede tener varias puertas traseras, puede tener secuencias de comandos que le envíen nuevas contraseñas de FTP, e incluso podría tener instalado un rootkit de Windows. La única solución real es reformatear la máquina y volver a una copia de seguridad .

Sin embargo, si estamos trabajando en el supuesto de que usted no tiene una copia de seguridad, y que su atacante es perezoso y solo está confiando en una puerta trasera de PHP, entonces querría grep su completo docroot para cosas como; 

system exec passthru shell_exec proc_open popen fopen fwrite

Por supuesto, su atacante podría estar usando una puerta trasera escrita en otra cosa que no sea PHP, lo cual es otra razón por la que todo este proceso carece de sentido. Sin embargo, es posible que solo puedas echarlo.

    
respondido por el lynks 14.08.2013 - 12:03
fuente
1

Presente una queja ante la policía y vuelva a instalar el sitio para comenzar. Para encontrar los archivos, deberá revisar todos los archivos manualmente y encontrar todos los archivos personalizados en comparación con una instalación limpia de wordpress (verifique las sumas de md5). Sin embargo, lo mejor sería reiniciar desde cero.

Por curiosidad, ¿por qué está molesto?

    
respondido por el Lucas Kauffman 14.08.2013 - 12:04
fuente
1

Tienes que encontrar la puerta trasera, de lo contrario siempre estarás luchando en una batalla perdida.

Si está alojando el sitio en un VPS, revise las funciones de contabilidad de Linux para que el sistema operativo registre todo lo que se toca en su carpeta principal (acct, auditd, auditctl, ausearch)

Asegúrese de que los archivos no hayan sido manipulados para incluir una puerta trasera con herramientas de verificadores de integridad de archivos como "ayudante" (compare la versión de copia de seguridad original del sitio sin compromiso con la existente)

Filtre sus registros de apache2 para cualquier consulta que tenga muchos parámetros de consulta o con nombres de archivos inusuales.

Busque archivos ejecutables (.php, otros) que tengan cadenas de código muy largas. Las puertas traseras estándar de php suelen insertar 1 línea muy larga con código ofuscado. Por lo tanto, buscar el archivo con la línea más larga puede ayudarlo a encontrar el archivo comprometido.

Mire las "cuentas de administrador" en su cuenta de alojamiento, podría haber agregado una nueva para él. Haga lo mismo para FTP, MySQL y otras puertas en su cuenta.

O, intenta usar algunas habilidades políticas / sociales para pacificarlo. Las personas se vuelven así cuando las irritas o cuando se ponen en modo "defensivo" por algo que dices. Intenta dar marcha atrás y convertirlo en un aliado en lugar de un enemigo. Recuerde que lo que tiene en el otro extremo es un desarrollador no profesional que tiene mucho tiempo de sobra y, aparentemente, también muchas emociones. Si puedes hacer el control del daño humano, podría ser más fácil para ti.

De lo contrario, sugeriría considerar contratar a un experto en seguridad del mismo sitio web en el que contrató a los otros 2.

Buena suerte ...

    
respondido por el Wadih M. 14.08.2013 - 20:30
fuente

Lea otras preguntas en las etiquetas

¿Cómo iniciar sesión en los sitios en los que ha configurado el autenticador de Google 2 Step si pierde su teléfono? ¿Por qué debo registrar los inicios de sesión exitosos en mi servidor?