Спам изпратен от сайта ми

[nedqlkov]

Здравейте, преди малко получих писмо от host.bg

Здравейте,


Хостингът на сайта dalila-art.com, е бил компрометиран и е уеб видимостта му е преустановена. В обслужващите го директории е поставен зловреден код, който може използва вашите хостинг ресурси за разпращане на спам, флууд атаки, публикуване на фалшиви страници и/или други сериозни нарушения, впоследствие. Обръщаме внимание, че описаните атаки попадат под рестрикциите на българското и европейското законодателство.

Съветваме ви да се обърнете към разработчик, който да обнови използваната от вас система. Това е необходимо, защото изчистването на зловредния софтуер от сайта е временно решение и скоро след отстраняване му, отново ще има поставени нови зловредни код т.е. по този начин вие няма да „затворите дупките” на сигурността. Категоричното разрешаване на проблема ще се осъществи с пренаписване на кода и актуализиране до последна версия на системата и всички необходими ви допълнителни модули/разширения/плъгини както и теми/темплейти. Обръщаме внимание, че само обновяване на системата няма да доведе до пълното разрешаване на проблема

Моля, представете тази информация на уеб разработчик, който отговаря за поддръжката на вашия сайт.

При желание от ваша страна, Host.bg може да ви предостави достъп до ваш IP адрес или до IP адрес на обслужващия ви разработчик за отстраняване на зловредния софтуер. Ако се затруднявате с предоставяне на вашия IP адрес, можете да използвате инструмента http://whatismyipaddress.com, който ще ви информира за използвания от вас IP адрес.

Моля, вземете незабавни мерки за отстраняването на зловредния код. В противен случай е възможно нарушаване на коректното функциониране на използваните от вас услуги и отпадане при търсете в резултатите в Google.

Не се колебайте да се свържете с нас при необходимост от допълнително съдействие.

Благодарим ви за проявеното разбиране.

*** ENVELOPE RECORDS deferred/B/B5BBA367136 ***
message_size: 879 631 1 0 879
message_arrival_time: Sat Oct 17 04:38:54 2015
create_time: Sat Oct 17 04:38:54 2015
named_attribute: log_ident=B5BBA367136
named_attribute: rewrite_context=local
sender: [email protected]
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=57761
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=tesla
named_attribute: log_protocol_name=SMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=57761
named_attribute: helo_name=tesla
named_attribute: protocol_name=SMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;[email protected]
original_recipient: [email protected]
recipient: [email protected]
*** MESSAGE CONTENTS deferred/B/B5BBA367136 ***
Date: Sat, 17 Oct 2015 04:38:54 +0300
X-SG-User: timemessage
X-SG-Opt: SCRIPT_FILENAME=/www/time-message.com/addon_domains/dalila-art.com/www/root/image/cache/catalog/demo/article.php REQUEST_URI=/image/cache/catalog/demo/article.php PWD=/www/time-message.com/addon_domains/dalila-art.com/www/root/image/cache/catalog/demo REMOTE_ADDR=69.167.158.6
To: [email protected]
Subject: Re: Best Popular ED package
From: "Carmela Cameron" <[email protected]>
Reply-To:"Carmela Cameron" <[email protected]>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-Id: <[email protected]>


<div>
Best Popular ED package &ndash; <a href="http://combinationresumetemplate.com/wp-includes/theme-compat/sql.html">read more</a>
</div>

*** HEADER EXTRACTED deferred/B/B5BBA367136 ***
named_attribute: encoding=8bit
*** MESSAGE FILE END deferred/B/B5BBA367136 ***

С уважение,
Мирослав Иванов
Техническа поддръжка
Host.bg

Всичко по wordpress беше инсталирано от самия wordpress и нищо не съм качвал сам на хоста. Има ли някакъв плугин който да върши работата на "антивирусна" и да изтрие зловредния код?

 

[Sky]

От: Спам изпратен от сайта ми

Триеш всичко освен ъплоад и конфиг файла и заместваш.
Като си провериш папката ъплоад за нежелани файлове.

 

[nedqlkov]

От: Спам изпратен от сайта ми

Триеш всичко освен ъплоад и конфиг файла и заместваш.
Като си провериш папката ъплоад за нежелани файлове.

туко що ми дадоха списък на "заразените" файлове. Според списъка им всеки един сайт който имам хостнат при тях е заразен... Над 70 файла... Немога да проумея как е станало това.

 

[Sky]

От: Спам изпратен от сайта ми

туко що ми дадоха списък на "заразените" файлове. Според списъка им всеки един сайт който имам хостнат при тях е заразен... Над 70 файла... Немога да проумея как е станало това.

Значи са повеч сайтовете? Не мога да се сетя, но клиент имаше същия проблем и то пак в хост.бг.

 

[nedqlkov]

От: Спам изпратен от сайта ми

Имах общо около 15 сайта, от които 6 активни в момента. 3 от тях са на wordpress. Спама е изпращан само от този който е на wordpress.

-rw-r--r-- 1 timemessage timemessage 88K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/admin/controller/openbay/ebay.php
-rw-r--r-- 1 timemessage timemessage 32K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/admin/model/openbay/openbay.php
-rw-r--r-- 1 timemessage timemessage 1.7K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/catalog/controller/module/ebay_listing.php
-rw-r--r-- 1 timemessage timemessage 2.5K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/catalog/controller/payment/liqpay.php
-rw-r--r-- 1 timemessage timemessage 30K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/catalog/model/openbay/ebay_product.php
-rw-r--r-- 1 timemessage timemessage 14K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/system/library/amazon.php
-rw-r--r-- 1 timemessage timemessage 14K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/system/library/amazonus.php
-rw-r--r-- 1 timemessage timemessage 18K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/system/library/cart.php
-rw-r--r-- 1 timemessage timemessage 57K Oct 16 23:13 ./addon_domains/dalila-art.com/www/root/system/library/ebay.php
-rw-r--r-- 1 timemessage timemessage 497 Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/system/library/encryption.php
-rw-r--r-- 1 timemessage timemessage 11K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/system/library/etsy.php
-rw-r--r-- 1 timemessage timemessage 16K Sep 23 01:49 ./addon_domains/dalila-art.com/www/root/system/library/openbay.php
-rw-r--r-- 1 timemessage timemessage 49K Oct 9 11:37 ./addon_domains/dalila-art.com/www/root/wp-admin/includes/file.php
-rw-r--r-- 1 timemessage timemessage 25K Oct 9 12:12 ./addon_domains/dalila-art.com/www/root/wp-content/plugins/kk-star-ratings/index.php
-rw-r--r-- 1 timemessage timemessage 40K Oct 9 11:37 ./addon_domains/dalila-art.com/www/root/wp-includes/ID3/module.audio.ogg.php
-rw-r--r-- 1 timemessage timemessage 16K Oct 9 11:37 ./addon_domains/dalila-art.com/www/root/wp-includes/SimplePie/Sanitize.php
-rw-r--r-- 1 timemessage timemessage 35K Oct 9 11:37 ./addon_domains/dalila-art.com/www/root/wp-includes/class-IXR.php
-rw-r--r-- 1 timemessage timemessage 4.0K Oct 9 11:37 ./addon_domains/dalila-art.com/www/root/wp-includes/class-feed.php
-rw-r--r-- 1 timemessage timemessage 124K Oct 9 11:37 ./addon_domains/dalila-art.com/www/root/wp-includes/class-phpmailer.php
-rw-r--r-- 1 timemessage timemessage 36K Oct 9 11:37 ./addon_domains/dalila-art.com/www/root/wp-includes/class-smtp.php
-rw-r--r-- 1 timemessage timemessage 49K Oct 9 11:37 ./addon_domains/dalila-art.com/www/root/wp-includes/class-wp-customize-widgets.php

Това са файловете нa сайта който е изпратил спама. Тези за ebay вобще не ми е ясно за какво са даже. Ще пробвам да изтрия посочените файлове...

 

[Sky]

От: Спам изпратен от сайта ми

Имах общо около 15 сайта, от които 6 активни в момента. 3 от тях са на wordpress. Спама е изпращан само от този който е на wordpress.



Това са файловете нa сайта който е изпратил спама. Тези за ebay вобще не ми е ясно за какво са даже. Ще пробвам да изтрия посочените файлове...

Потърси откъде и как са се появили първо.

 

[nedqlkov]

От: Спам изпратен от сайта ми

Сега погледнах един от файловете class-feed.php. Не разбирам от php кой знай колко, но така като го гледам сякаш няма нищо свързано с изпращане на спам

<?php

if ( !class_exists('SimplePie') )
  require_once( ABSPATH . WPINC . '/class-simplepie.php' );

class WP_Feed_Cache extends SimplePie_Cache {
  /**
   * Create a new SimplePie_Cache object
   *
   * @static
   * @access public
   */
  public function create($location, $filename, $extension) {
    return new WP_Feed_Cache_Transient($location, $filename, $extension);
  }
}

class WP_Feed_Cache_Transient {
  public $name;
  public $mod_name;
  public $lifetime = 43200; //Default lifetime in cache of 12 hours

  public function __construct($location, $filename, $extension) {
    $this->name = 'feed_' . $filename;
    $this->mod_name = 'feed_mod_' . $filename;

    $lifetime = $this->lifetime;
    /**
     * Filter the transient lifetime of the feed cache.
     *
     * @since 2.8.0
     *
     * @param int    $lifetime Cache duration in seconds. Default is 43200 seconds (12 hours).
     * @param string $filename Unique identifier for the cache object.
     */
    $this->lifetime = apply_filters( 'wp_feed_cache_transient_lifetime', $lifetime, $filename);
  }

  /**
   * @access public
   */
  public function save($data) {
    if ( $data instanceof SimplePie ) {
      $data = $data->data;
    }

    set_transient($this->name, $data, $this->lifetime);
    set_transient($this->mod_name, time(), $this->lifetime);
    return true;
  }

  /**
   * @access public
   */
  public function load() {
    return get_transient($this->name);
  }

  /**
   * @access public
   */
  public function mtime() {
    return get_transient($this->mod_name);
  }

  /**
   * @access public
   */
  public function touch() {
    return set_transient($this->mod_name, time(), $this->lifetime);
  }

  /**
   * @access public
   */
  public function unlink() {
    delete_transient($this->name);
    delete_transient($this->mod_name);
    return true;
  }
}

class WP_SimplePie_File extends SimplePie_File {

  public function __construct($url, $timeout = 10, $redirects = 5, $headers = null, $useragent = null, $force_fsockopen = false) {
    $this->url = $url;
    $this->timeout = $timeout;
    $this->redirects = $redirects;
    $this->headers = $headers;
    $this->useragent = $useragent;

    $this->method = SIMPLEPIE_FILE_SOURCE_REMOTE;

    if ( preg_match('/^http(s)?:\/\//i', $url) ) {
      $args = array(
        'timeout' => $this->timeout,
        'redirection' => $this->redirects,
      );

      if ( !empty($this->headers) )
        $args['headers'] = $this->headers;

      if ( SIMPLEPIE_USERAGENT != $this->useragent ) //Use default WP user agent unless custom has been specified
        $args['user-agent'] = $this->useragent;

      $res = wp_safe_remote_request($url, $args);

      if ( is_wp_error($res) ) {
        $this->error = 'WP HTTP Error: ' . $res->get_error_message();
        $this->success = false;
      } else {
        $this->headers = wp_remote_retrieve_headers( $res );
        $this->body = wp_remote_retrieve_body( $res );
        $this->status_code = wp_remote_retrieve_response_code( $res );
      }
    } else {
      $this->error = '';
      $this->success = false;
    }
  }
}

/**
 * WordPress SimplePie Sanitization Class
 *
 * Extension of the SimplePie_Sanitize class to use KSES, because
 * we cannot universally count on DOMDocument being available
 *
 * @package WordPress
 * @since 3.5.0
 */
class WP_SimplePie_Sanitize_KSES extends SimplePie_Sanitize {
  public function sanitize( $data, $type, $base = '' ) {
    $data = trim( $data );
    if ( $type & SIMPLEPIE_CONSTRUCT_MAYBE_HTML ) {
      if (preg_match('/(&(#(x[0-9a-fA-F]+|[0-9]+)|[a-zA-Z0-9]+)|<\/[A-Za-z][^\x09\x0A\x0B\x0C\x0D\x20\x2F\x3E]*' . SIMPLEPIE_PCRE_HTML_ATTRIBUTE . '>)/', $data)) {
        $type |= SIMPLEPIE_CONSTRUCT_HTML;
      }
      else {
        $type |= SIMPLEPIE_CONSTRUCT_TEXT;
      }
    }
    if ( $type & SIMPLEPIE_CONSTRUCT_BASE64 ) {
      $data = base64_decode( $data );
    }
    if ( $type & ( SIMPLEPIE_CONSTRUCT_HTML | SIMPLEPIE_CONSTRUCT_XHTML ) ) {
      $data = wp_kses_post( $data );
      if ( $this->output_encoding !== 'UTF-8' ) {
        $data = $this->registry->call( 'Misc', 'change_encoding', array( $data, 'UTF-8', $this->output_encoding ) );
      }
      return $data;
    } else {
      return parent::sanitize( $data, $type, $base );
    }
  }
}

 

[mobilio]

От: Спам изпратен от сайта ми

Сравнително бързо може да се почисти... обаче дупката не можеш я запушиш и ще ти отнеме време да разбереш къде е.

На горния домейн имаш OpenCart + WP доколкото виждам от сайтовете и вероятно са пробили OC-то.

PS: Боря в момента нещо подобно... ужасно е...

 

[nedqlkov]

От: Спам изпратен от сайта ми

Какво може да е решението? Да изтрия абсолютно всичко от хоста, да запазя само базата данни? Проблема възможно ли е да е и в базата данни ? Опен карт със сигурност никога не съм слагал на хоста...

 

[mobilio]

От: Спам изпратен от сайта ми

Ами не...
/catalog/controller/module/
ей такива линкове са на OC на 100%

Мога да ти го почистя за час/два, но ако не се запуши дупката ще си играем на криеница.

 

[madseason]

От: Спам изпратен от сайта ми

WP темите ти ъпдейтвани ли са скоро?

 

[nedqlkov]

От: Спам изпратен от сайта ми

WP темите ти ъпдейтвани ли са скоро?

Не. Последния сайт който правих и за който цитирах по-горе файловете dalila-art.com е направен преди 1 седмица с тема инсталирана през самия wordpress.