Mis sitios de Wordpress hackeados (?)

1

Hola a todos. Estoy usando un alojamiento compartido y mi empresa de alojamiento dice que mis sitios tienen códigos no deseados y en el informe:

  

¡Su cuenta ha sido utilizada para atacar a nuestros / otros servidores! ¡Tu cuenta tiene códigos / shells maliciosos!

     

¡Encontramos los siguientes ejemplos! Comprenda que detectamos muchos, pero no todos los tipos de archivos comprometidos. Los javascripts especialmente inyectados son difíciles de detectar para nosotros, así que inspeccione las carpetas que contienen archivos comprometidos para detectar archivos más inusuales y modificados.

     

significa verificar / eliminar todo el contenido de plegado, incluidas todas las subcarpetas

     

./emreece.com/wp-content/plugins/meme-generator/img/social.png

     

./emreece.com/wp-content/plugins/meme-generator/meme-generator.php

     

./kayserisaglammobilya.com/wp-content/plugins/akismet/index.php   diciendo.

No he cambiado ningún archivo reciente, mi computadora está limpia, la escaneo con avast y anti malware. Cuando miro la última vez que cambian los archivos, todavía son viejos. El tiempo de cambio de solo 2-3 carpetas es nuevo, pero en los archivos de las mismas aún se encuentra el tiempo de cambio anterior.

Lo que sea, descargo todos mis archivos y los escaneo con antimalvere y programas antivirus. Ahora quiero escanearlos con "búsqueda de texto". Busco textos base64 y eval. Pero hay algunos archivos que incluyen base64 y eval en los archivos principales. Están buscando el código por defecto. Por favor, dame un consejo para limpiar mis archivos, si tienen un código incorrecto.

Si escaneo con este script y no lo haré ser cualquier error ¿significa que mis archivos están limpios?

    
pregunta emrece 03.10.2015 - 12:08
fuente

3 respuestas

4

No sabes qué tan lejos va el problema, lo que significa que "limpiar" es not lo que debes hacer. Es necesario instalar desde copias de seguridad buenas conocidas.

Ningún análisis le dará una respuesta perfecta (lo que significa que ningún error no significa nada). Debe saber que los archivos que tiene son los que espera.

    
respondido por el schroeder 03.10.2015 - 17:00
fuente
2

Dado que todos los archivos enumerados son complementos de Wordpress, es posible que esté utilizando algunos complementos para los cuales existen vulnerabilidades conocidas. Debe actualizar sus complementos. También debe comprobar si las últimas versiones de los complementos que está utilizando también tienen vulnerabilidades conocidas.

Editar: también debe verificar si se instalaron / cargaron algunas puertas traseras. También cambia tus contraseñas de wp.

    
respondido por el pineappleman 03.10.2015 - 13:21
fuente
0

Por ahora haz como lo solicite la empresa de hosting. En el futuro, puede calcular el archivo hash de estos directorios de la siguiente manera:

tar c ./emreece.com/wp-content/plugins/meme-generator/img/ | md5sum > hash_img.md5
tar c ./emreece.com/wp-content/plugins/meme-generator/ | md5sum > hash_mem.md5
tar c ./kayserisaglammobilya.com/wp-content/plugins/akismet/ | md5sum > hash_akismet.md5

almacena los hashes localmente, los vuelve a calcular en los archivos remotos y los compara con los hashes locales en un intervalo de tiempo determinado.

Si tiene habilitado SSH, puede automatizar aún más el proceso. Primero necesita un hash de los directorios solicitados como se muestra arriba y luego solo necesita compararlos con los hashes posteriores de los mismos directorios para detectar posibles alteraciones / creación / eliminación de archivos.

local_hash_file='cat /local/path/to/dir/hashes/hash.md5'
ssh <user>@<server> remote_hash_file='cat /remote/path/to/dir/hashes/hash.md5'; if [ "$local_hash_file" == "$remote_hash_file" ]; then echo CHANGED; fi
    
respondido por el Sebi 03.10.2015 - 12:27
fuente

Lea otras preguntas en las etiquetas