Хакнат WP - бял екран или изтрити файлове (2 пъти за седмица)

[jmb]

Здравейте !

Имам проблем с хакнат WP сайт.
Първо бяха изтрити файловете.
Възстанових от архива и ужким всичко изглеждаше наред, но на другия ден при опит да вляза в wp-admin, след вход нямам dashboard.

Имам само линкове, които като ги натисна и ме водят то 404 - Page not Found.
Хостинга е споделен, акаунта беше сканиран и излезнаха много файлове .php, които изтрих.

Проблема ми е, че не мога да запиша/пусна wp fence или друг плъгин, защото нямам работещ админ панел.

Може ли някой да ми съдейства за разрешаването на този неприятен проблем.

 

[contra]

Какви са тия изтритите .php файлове?
Нови и съмнителни или core wp файлове?

Ако е първото - сменяй хоста.
Второто - изтрий всички съмнителни плъгини и теми, сложи някоя от дефолтните теми и преинсталирай уордпреса.

 

[jmb]

Нови и съмнителни.
Странни имена, които не са добавяни от мен и не са част от УП

 

[contra]

Пробит хост.
Мести.

 

[jmb]

Пробит хост.
Мести.

Ще преместя, обаче като сваля архива от хоста и го запиша на друго място, мисля че и другия ще се зарази, ако във файловете останат тези неща.

Има ли вариант да сваля, сканирам, изчистя и тогава да кача на друг хост ?

 

[Blinky]

Какво ще рече 2 пъти на седмица. В смисъл, чистиш, всичко ъпдейтваш и оправяш, и след две седмици пак същото? Да, каквото и да правиш, трябва да се изчисти и да го метнеш на новото местнеце чисто. Може и локал да го свалиш да ги сканираш. Виж си там къде се пробива сайта. Тема, плъгин, ядро. Но е вариант да го сканираш локално. Но първо провери какво от посочените може да го причинява това пробиване.

 

[jmb]

Какво ще рече 2 пъти на седмица. В смисъл, чистиш, всичко ъпдейтваш и оправяш, и след две седмици пак същото? Да, каквото и да правиш, трябва да се изчисти и да го метнеш на новото местнеце чисто. Може и локал да го свалиш да ги сканираш. Виж си там къде се пробива сайта. Тема, плъгин, ядро. Но е вариант да го сканираш локално. Но първо провери какво от посочените може да го причинява това пробиване.

Имах предвид, че в периода от 03.12 до 10.12 е хакнат два пъти.
Първо го изчистих, всичко изглеждаше наред , но вчера забелязах, че не работи пак и се зарових...

Ще сваля файловете и базите, обаче не знам какво да правя след това - как да го сканирам, как да го изчистя и т.н
Не искам да го качвам на друг хост, преди да е чист, защото няма да има ефект.
Общо взето съм в задънена улица

 

[Беджев Стил]

смени паролите на база данните
махни плъгини дето с тях и без тях все тая
и за бога братя, не ползвайте wordfence

 

[webselo.com]

Виж правата на файловете и директориите какви са, като минимум 755 за директории и 644 за файлове.
Дай конфигурационния файл да не се чете.
Сложи защита на админската папка - да се достъпва само от твоето IP.
Отиваш в /wp-admin/
, правиш файл .htaccess, примерно така:

# Order Allow, Deny
Deny from All
Allow from 1.2.3.4

***
На мястото на 1.2.3.4 слагаш твоето IP.
Можеш да видиш кое е то с тази услуга: https://whatismyipaddress.com/

 

[jmb]

смени паролите на база данните
махни плъгини дето с тях и без тях все тая
и за бога братя, не ползвайте wordfence

Смених паролите след първия хак.
Плъгините ги изключих всичките със смяна на името на директорията - няма резултат.

Като цяло съм на етап сваляне на всичко от сървъра, после обаче нямам идея с какво да го сканирам локално и изобщо как да процедирам след това.

 

[s1yf0x]

Свалям, чистя и възстановявам от бекъп = паля свещ и се моля..

Ти не си наясно как са пробили WP- то, защото не си направил анализ.

Joke ръси акъли без да е видял логове - караме я на предположения и хипотези, защото worpress-а е абстрактна материя.

Единстрено Банко даде някакво адекватно мнение, малко като на изпит по клиентско обслужване но все пак адекватно.

 

[jmb]

Виж правата на файловете и директориите какви са, като минимум 755 за директории и 644 за файлове.
Дай конфигурационния файл да не се чете.
Сложи защита на админската папка - да се достъпва само от твоето IP.
Отиваш в /wp-admin/
, правиш файл .htaccess, примерно така:

# Order Allow, Deny
Deny from All
Allow from 1.2.3.4

***
На мястото на 1.2.3.4 слагаш твоето IP.
Можеш да видиш кое е то с тази услуга: https://whatismyipaddress.com/

Прегледах всичките директории са 755, файловете са 644.

Направил съм блок на другите айпита, освен моето.

 

[jmb]

Свалям, чистя и възстановявам от бекъп = паля свещ и се моля..

Ти не си наясно как са пробили WP- то, защото не си направил анализ.

Joke ръси акъли без да е видял логове - караме я на предположения и хипотези, защото worpress-а е абстрактна материя.

Единстрено Банко даде някакво адекватно мнение, малко като на изпит по клиентско обслужване но все пак адекватно.

Да, не знам откъде са го пробили, не съм правил анализ.

Прегледах всички config файлове, не мога да разбера как ми режат по този начин сайта, че дори да искам да направя редакция на публикация или страница - не мога, дава ми, че не съществува.

Все едно всичко ми е с редирект към линкове, които не съществуват.

 

[contra]

От мене да мине - първо изтрий съмнителните плъгини и теми и изчакай ден-два.
После мести

Клиентско обслужване се прави с преценка на клиента - техническо ниво, алибали, и на контекста (шернат хостинг).
Ако някой от про-съпортърите иска да гледа лог файлове и да разследва - да заповяда..

 

[jmb]

От мене да мине - първо изтрий съмнителните плъгини и теми и изчакай ден-два.
После мести

Клиентско обслужване се прави с преценка на клиента - техническо ниво, алибали, и на контекста (шернат хостинг).
Ако някой от про-съпортърите иска да гледа лог файлове и да разследва - да заповяда..

Тема имам само 1, която е и активна.
мислех за добавя друга и да я настроя през базата данни (не знам дали ще има ефект, за да мога да оправя постоянните връзки)

 

[jmb]

wp-admin/post.php?post=73&action=edit

ми изкарва

ohh! page not found​

Давам редакция на публикация...

Замяна на файловете от ядрото дали ще реши проблема?

 

[contra]

По-добре шерни лог файловете че нали трябвало да правим анализ.

 

[Sky]

Обречена кауза е това, ако е важен сайта си плати ако не трий направо.
Тая работа не става със съвети о форуми от рандом юзъри, губене на време

 

[s1yf0x]

1. Спираш всички рекламни кампании в Google и FB
2. Блокираш достъпа до сайта с htaccess и оставяш само твоето ip и човека / фирмата, която ще ти помага да си оправиш сайта
3. сменяш паролата за акаунта - cpanel, ssh в зависимост от услугата, която ползваш
4. сваляш файлоте в изолирана среда и сканираш
5. намираш заразените и правиш списък
6. съпорта на услугата проверява ctime на файловете, което им подадеш по списък (ако е включено в цената на хостинга) и го съпоставя със логовете - http, ftp, cpanel

И чак когато ти върнат конкретна заявка или доказателство по какъв начин и треснат сайта, извършваш съответните корективни действия, предприемаш превантивни за напред, чистиш сайта и качваш отново. Преди това е безмислено.

Ако случайно няма информация за заразени файлове и няма timestamp, по който да се ориентира съпорта, гледат http post заявки за последните 48 часа на сляпо, ftp логове, cpanel логове и гадаят

 

[jmb]

Проблема е в htaccess файла :

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Променен е по този начин, обаче дори и да го редактирам, след записването се връща автоматично.

Има ли как да забраня редакцията на файла , защото и след изтриване, автоматично се създава и в него е този текст ?