Pospammana WP stran

Živjo,

na eni (precej nepomembni) Wordpress strani/blogu sem zaznal malware oz. so se kreirali linki/page-i v angleščini, katere sam nisem ustvaril. Problem je, da jih seveda na serverju ne najdem, saj očitno ne gre za klasične strani, ampak predvidevam, da je kje naložen kak .php. Ima kdo kak dober nasvet kako pobrisati te zadeve, ker sem dobil tudi že warning s strani Google Webmaster (Site violates Google's quality guidelines).

Predvsem se bojim, da mi bojo na Hostgatorju naredili kako štalo in mi zbrisali vse kar je gor.

Hvala!

p.s.: Še to, gesla sem spremenil in naredil vse možne update.

11 odgovorov

pomoje da securi pove lokacijo "dodatkov" , nisem pa ziher.. probaj

https://sitecheck.sucuri.net/

1

Žal Sucuri sploh ni zaznal ničesar :)

root@server:~# grep -r "iskani_link" /pot/do/www/mape/

2

Če so to strani html, download prek FTPja, poiščeš PHPje in zbrišeš. Pa še htmlje preskeniraš za iframe,/javascripti.

Če pa je php - najlažje preko basha - zadnje spremenjene datoteke :/

Kaj pa pravijo "logi"? Morda error log ...

1

@krejzi - nisem prepričan, če imam to možnost na Hostgatorjevem strežniku...

Twosocks - tega sem se tudi sam lotil tako, iskal sem zadnje spremenjene datoteke, pa nisem našel nič pametnega. Verjetno je problem v tem, da se je stran auto-updatala 1.4., to pa se je verjetno zgodilo malce prej, tako da iščem iglo v senu...

error log:

[27-May-2014 08:58:08 UTC] PHP Warning: includeonce(/home1/ime/publichtml/naslov strani/wp-content/plugins/iwp-client/init.php): failed to open stream: No such file or directory in /home1/dream021/public_html/naslov strani/wp-settings.php on line 214

[27-May-2014 08:58:08 UTC] PHP Warning: includeonce(): Failed opening '/home1/ime/publichtml/naslov strani/wp-content/plugins/iwp-client/init.php' for inclusion (includepath='.:/opt/php54/lib/php') in /home1/ime/publichtml/naslov strani/wp-settings.php on line 214

[27-May-2014 08:58:08 UTC] PHP Warning: strpos(): Empty needle in /home1/ime/public_html/naslov strani/wp-includes/plugin.php on line 623

[27-May-2014 08:58:08 UTC] PHP Warning: strpos(): Empty needle in /home1/ime/public_html/naslov strani/wp-includes/plugin.php on line 623

Tole preveri:
- Če je kakšna php datoteka v wp-contect/upload mapi.
- Naredi search po datotekah s ključno besedo eval in Base64 in ročno preglej vse datoteke, kjer jih najde. Eval se redko uporablja, tako da v večini primerov boš našel okuženo kodo.

1

V uploadu ni nič, evala prav tako ne najde, najde pa:

/public_html/naslovstrani.com/wp-content/themes/optimizePressTheme/lib/js/jquery/jquery.base64.min.js

Je mogoče ta situacija?
Klik

Ena od kmečkih variant je, da z Filezillo dol posnameš na svoj disk vse datoteke in jih potem poskušaš v en drug direktorij posneti nazaj na server in okuženih ne boš mogel. Ne vem ali je to funkcija same Filezille ali Avasta, ki ga imam inštaliranega ampak zadeva deluje.

Glede na to, da gre za nek nepomemben blog je najboljše, da najprej narediš backup, nato komplet pobrišeš vse wordpress datoteke na strežniku in ponovno posnameš čisto verzijo wordpressa gor. Lahko sicer pustiš wp-config.php datoteko, kjer so zapisani podatki za dostop do baze, da ti ne bo potrebno ponovno iskati teh podatkov.
Lahko še pogledaš, če imaš kakšne slike v direktoriju wp-content/uploads in kateri template uporabljaš, če ga boš še enkrat inštaliral.

V prihodnje pa moraš skrbeti za reden avtomatski update. Ena taka luknja na shared hostingu ti okuži vse strani, ki jih imaš na shared hostingu.

1

Pred letom sem imel podoben problem pri hostagotrju. 8 strani, in vse so bile "uničene".
5 sem jih rešil, 3 pa narest znova.

Naredili so mi scan, ter odstranili smetje. 1. scan je zastonj potem pa ti računajo mislim, da 60 USD

1