Neustálé hackování webu ve WP

Úvodní stránka Fórum podpory WordPressu Problémy s WordPressem Neustálé hackování webu ve WP

Štítky: ,

Zvolené téma obsahuje celkem 16 odpovědí. Do diskuze (4 účastníci) se naposledy zapojil uživatel  Marp a poslední změna je stará 7 let, 1 měsíc.

Aktuálně je na stránce zobrazeno 17 příspěvků - 1. až 17. (z celkem 17)
  • Autor
    Příspěvky
  • #18790

    Marp
    Participant

    Zdravím, mám už cca 2 měsíce problém s jedním webem a klient prostě zuří. Ignum.cz už dvakrát odstavilo web z důvodu zahlcení serverů. Vždy jsem objevil v kořenové složce /www jeden nebo více PHP souborů s různými názvy. Třeba pr5674cx.php nebo 9856HPF.php ap. Vždy jsem je smazal, ale pak se časem zase objevily a vůbec netuším, jakým způsobem se dostávají přímo do kořenové složky. Stránka je již Google nahlášena jako útočná, kde se nachází malware a klient opět zuří, že ho to značně poškozuje a že u svých klentů to nebudí důvěru. Dnes v noci se tam objevil zase soubor xml.php (v příloze), který jsem stáhnul a z kořenové složky odstranil.
    WordPress je maximálně zabezpečen pomocí pluginů iThemes Security, WP Security a přihlašování je vedeno mimo wp-login přes plugin HC Custom WP-Admin URL. Soubory v kořenové složce WP jsou nastaveny na chmod 0644, .htaccess na 0444 a složky na 0755.
    Může mi někdo poradit, jak zabezpečit WP, aby se tam tyhle malwarové PHP soubory neobjevovaly??? Podotýkám, že na jiných spravovaných webech ve WP (cca 25) takové problémy nemám. Jen s tímto jediným – WP běží na virtuálním serveru u Ignum.cz.

    #18791

    admin
    Keymaster
    Web

    Možností je spousta :-)

    1) Nemůže být problém přímo na virtuálním serveru? Běží na něm i nějaké další weby? Nemůže být nějaká bezpečnostní chyba už přímo na tomto serveru? Máte tam všechno aktualizované a zabezpečené? Máte nastavené přístupy na server pouze z nějaké vlastní IP adresy? Jednou jsem podobný problém řešil a byla to nakonec chyba hostingu, který měl bezpečnostní problém přímo na serveru.

    2) Změnil jste po vyčištění webu všechna hesla (FTP, databáze, přístupy na server)?

    3) Není tam ještě někde něco ukrytého? Soubor může být třeba neviditelný (jako .htaccess) nebo velmi dobře ukrytý. Nové soubory jsou obvykle načítány ještě přímo z nějakých souborů WordPressu (functions.php šablony, nějaký plugin), ale není to samozřejmě podmínkou.

    4) Není v používané šabloně nebo v některém z pluginů nějaká bezpečnostní chyba? Používáte pouze prověřené a obecně známé pluginy?

    #18793

    Marp
    Participant

    Zdravím,

    ad 1) Osobně si myslím, že je díra někde na tom serveru – všechny ty cizí PHP soubory jdou přes cestu /usr/var/www nebo přes /usr/bin/ což ukazuje na LAMP server. Ovšem klient o tom nechce ani slyšet, protože mu z Ignum.cz řekli, že u nich problém není a protože mu nějací další “IT odborníci” řekli, že WordPress není vůbec bezpečný a že weby firem s.r.o., které jsou ve WP jsou napadány automaticky – což je naprostá blbost.

    ad 2) Hesla má k dispozici pouze klient, resp. je možnost změnit a opět mi řekl, že to není jeho starost, že on má hesla bezpečná a nebude to celé měnit.

    ad 3) přes FileZilla mám nastaveno zobrazování skrytých souborů a kromě .htaccess tam žádný skrytý soubor nevidím.

    ad 4) šablona je placená Juicy, kterou si vybral a zaplatil sám klient, pluginy jsou opravdu jen prověřené a komplet WP, včetně pluginů jsou pravidelně aktualizované. Už jsem navrhoval klientovi, že tam přes víkend nechám jen defaultní šablonu, abch zjistil, jestli není bezpečnostní problém v šabloně, ale ani o tom nechtěl slyšet – prostě mi řekl, ať to funguje a nic se nemění, že nemá nervy na to, aby se v tom vrtalo a že jeho zákazníci nechtějí žádné změny nebo nefunkční web.

    #18794

    admin
    Keymaster
    Web

    Tak to je trochu začarovaný kruh :-)

    Pokud má klient důležitá hesla k serveru, tak nikdy nevíte, jestli je nedal z ruky. Třeba i nechtěně (má je uložené někde v Total Commanderu, koukne na porno “zdarma” a hned je zavirovaný počítač a hesla se šíří internetem). Klient má mít na starosti obchodní komunikaci s hostingem (tedy faktury, atd), ale hesla nemá mít vůbec k dispozici. Pokud případně ukončíte spolupráci, tak je samozřejmě může jako majitel hostingu změnit.

    Trval bych na kompletní změně všech hesel a pokud to nepomůže, tak budete muset pátrat dál (verze PHP, knihoven, atd) a donutit administrátory k případnému updatu. Administrátoři serverů trochu zneužívají WordPress a dělají si tak alibi své vlastní nekvalitní práce :-)

    Předpokládám, že po každém vyčištění WordPress pro jistotu automaticky přeinstalujete, aby se někde něco neskrývalo.

    Šablona Juicy by to teoreticky způsobovat mohla (máte nejnovější aktualizace z dubna 2014?), ale těžko říci. Zkuste projít konce a začátky některých souborů a prohledat je na podezřelé funkce (a nebo použít nejnovější aktualizaci).

    Každopádně bez spolupráce s klientem (změna hesel) to asi bohužel nedořešíte…

    #18798

    weskomfort
    Participant
    Web

    Dobrý den,
    co takhle zkusit web hodit dočasně někam jinam (např vlastní doména 3 řádu) a na původní hosting dát jenom přesměrování. Klient převážně nic nepozná (málokdo sleduje adresní řádek, kde se zrovna nachází) a Vy otestujete jestli to dělá hosting?

    #18801

    admin
    Keymaster
    Web

    Zajímavá myšlenka :-) Původně jsem také zvažoval přesun webu, ale po popisu problémů s klientem mě nenapadlo, že by to šlo udělat za jeho “zády”… Ale nevím, jestli tam ta VPS není z nějakého důvodu (třeba nějaký skript, který na běžném hostingu není nebo vysoká návštěvnost). Každopádně pokud máte přístupy k nastavení DNS, tak je to také řešení a můžete klidně nechat stávající doménu a jenom hosting nasměrovat jinam. Ale pozor na případné související služby (emaily, atd).

    #18802

    weskomfort
    Participant
    Web

    Ono by na tu chvilku stačilo přesměrování hlavičkou 301. Tu dokonce tolerují i vyhledávače.

    #18805

    Bigdrobek
    Participant
    Web

    1) Odeberte admin práva zákazníkovi pokud je má
    2) Co je na tomto VPS jiného než na Vašich dalších 25 webech (pluginy, šablona)
    3) Zkusil bych CloudFlare nebo Incapsula ve free verzi (funguje na principu přesměrování DNS)
    4) Jsou v šabloně (pluginech) nějaké úpravy na míru?

    #18806

    Marp
    Participant

    Tak jsem přes Nástroje pro webmastery přidal dotyčný web, abych zjistil co a jak. Zde je výstup:

    http://bursia.cz/
    <script type="text/javascript" src="http://www.mcm-collection.de/counter.php?id=10079586">
    http://bursia.cz/?utm_source=topkontakt-partner&utm_medium=topkontakt
    <script type="text/javascript" src="http://www.mcm-collection.de/counter.php?id=10079586">
    http://bursia.cz/aktuality/
    <script type="text/javascript" src="http://www.mcm-collection.de/counter.php?id=10079586">
    Attachments:
    #18808

    Marp
    Participant

    Tak by mě zajímalo, ve kterém souboru mám ten script najít?

    #18809

    weskomfort
    Participant
    Web

    Dobrý den,
    podle toho co jste psal tak by to mohla dělat raklama na Topkontaktu. Nemáte tam něco takového vloženého? On byl totiž, pokud si dobře pamatuju problém v tom, že topkontak skupoval prokliky na Sklik a tím vznikala párovaná reklama a google to začal blokovat.

    #18810

    Marp
    Participant

    Ten odkaz http://bursia.cz/?utm_source=topkontakt-partner&utm_medium=topkontakt je, když se na iDnes > http://topkontakt.idnes.cz/ zadá název firmy, tj. Bursia

    #18811

    admin
    Keymaster
    Web

    Ano, odkaz na úvodní stránku s parametrem utm_source je pouze pro sledování statistik a nejde o samostatnou stránku, ale pouze hlavní stránku s parametrem. Žádný podobný skript už ale na webu nevidím, patrně už byl opraven/odstraněn. Zkuste to nechat Google znovu posoudit, aby mohl odstranit varování.

    A zkuste prohledat všechny soubory (WordPress, pluginy, šablony) i databázi na výskyt tohoto skriptu (nástroje na hromadné hledání jsme řešili třeba zde).

    #18812

    weskomfort
    Participant
    Web

    Pravda pravda. Omlouvám se. To bych si první musel uvědomit co je utm_source. Ale jak píše Admin. Hláška na Googlu již visí hodně dlouho. Tak pokud jste web již opravoval požádejte o kontrolu. Je teda zapsána i BitDefender a Fortinet, ale hlavní je ten google.
    Ještě jsem doménu prohnal přes hackertarget.com který Vám vypíše Javascripty a takový se tam neukázal.

    #18813

    Marp
    Participant

    WP jsem přeinstaloval, takže problém je zatím pryč. Na Google jsem již o kontrolu požádal, takže musím počkat, jak to dopadne.

    #18814

    admin
    Keymaster
    Web

    Jestli se tam ale pořád objevují podivné soubory typu xml.php (psal jste o tom včera), tak to možná dořešeno nebude…

    Mimochodem, na jednom testovacím webu jsem používal plugin WordPress File Monitor Plus, který hlídá, zda se nezměnily nějaké soubory a případně pošle email. Ale možní je tato funkce součástí nějakého jiného kvalitnější pluginu, nevím. A pokud máte přístup k VPS, tak je možné podobné hlídací skripty nasadit přímo na server…

    #18815

    Marp
    Participant

    Už jsem samozřejmě změnil i hesla na FTP a DB, poradil klientovi, aby si smazal připojení přes FTP klienta a nastavil nové a zabezpečil ho a hlavně, aby si důkladně nechal projet počítače na možnost viru.
    Já používám Fedoru 20, takže u mě je možnost virové nákazy vyloučena ;)

Aktuálně je na stránce zobrazeno 17 příspěvků - 1. až 17. (z celkem 17)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.