Προς το περιεχόμενο

Προσπάθεια χακαρίσματος του site μου (wordpress)

torq

Από τον torq
στο Web Design - Development

 Share

Προτεινόμενες αναρτήσεις

torq Mentor

torq

Δημοσ.
Δημοσ.

Μπαίνω σήμερα στο site (wordpress) και πως κοιτάω στους χρήστες βλέπω έναν χρήστη (administrator) με username indoxploit. Απ ότι κατάλαβα όμως ήταν ένας υπάρχων χρήστη και απλά έγινε μετονομασία του username. διότι ο παλιός που υπήρχε, δεν υπάρχει πλέον και τα ποστς που είχε ανεβάσει έχουν χρεωθεί στον χρήστη indoxploit.

 

googleαρω και πέφτω πάνω σε αυτό και αυτό.

 

στο site δε βλέπω να έχει γίνει κάποια αλλαγή. Τουλάχιστον κάποια εμφανής αλλαγή.

 

Να υποθέσω ότι έπεσα θύμα επίθεσης;

 

Εννοείται έσβησα το χρήστη indoxploit, 

αλλάζω κωδικούς από τους άλλους χρήστες,
αλλάζω κωδικό από το hosting
και κωδικούς-ονόματα από τη βάση και το χρήστη της βάσης.

 

εγκατέστησα και το sucuri plugin και στον έλεγχο μου βγάζει αυτό, το οποίο δε μπορεί να διορθώσει λέει (δηλαδή να τα ξανακατεβάσει) Αν το κάνω manual παίζει να χάσω τίποτα ρυθμίσεις;

 

 

 

post-163565-0-18094700-1512312878_thumb.png

 

 

 

αν κάνω download το αρχείο client.zip στον υπολογιστή μου, χτυπάει το antivirus των windows 10.

 

 

 

post-163565-0-74814000-1512313056_thumb.png

 

 

 

έκανα Install και το Block Bad Queries (BBQ). δε ξέρω αν έχει νόημα βέβαια.

 

Τι κάνουμε από εδώ και πέρα; ελπίζω να μην έχει προστεθεί κανένα κομμάτι κώδικα και τον πιούμε

  • Members
gsarig Community Regular

gsarig

Δημοσ.
  • Members
Δημοσ.

Δυστυχώς σε τέτοιες περιπτώσεις εύκολη λύση δεν υπάρχει. Εάν θεωρήσουμε δεδομένο ότι η ρίζα του προβλήματος βρίσκεται στην συγκεκριμένη εγκατάσταση του WordPress και όχι σε κάποιο πρόβλημα σε επίπεδο server, κάποια βασικά βήματα που μπορείς να κάνεις είναι τα εξής:

  1. Να φτιάξεις μια φρέσκια εγκατάσταση Wordpress (τελευταία έκδοση, προφανώς).
  2. Να πάρεις τον φάκελο wp-content/uploads από το παλιό site, να βεβαιωθείς ότι περιλαμβάνει μόνο υποφακέλους και φωτογραφίες και όχι αρχεία php ή js, και να του κάνεις κι ένα scan, καλού-κακού, με κάποιο antivirus. Αν είναι καθαρός, τον μεταφέρεις στη νέα εγκατάσταση.
  3. Να φτιάξεις μια νέα, άδεια βάση, με διαφορετικούς κωδικούς σύνδεσης και να κάνεις import την πιο πρόσφατη καθαρή παλιά που έχεις (ελπίζοντας να είναι όντως καθαρή).
  4. Να εγκαταστήσεις από την αρχή ένα-ένα όλα τα plugins που χρησιμοποιούσες, στις τελευταίες τους εκδόσεις. Αν κάποιο από αυτά δεν το χρειάζεσαι ή έχεις αμφιβολίες για την αξιοπιστία του, μην το εγκαταστήσεις καθόλου - ακόμα και ανενεργό αποτελεί κίνδυνο.
  5. Να εγκαταστήσεις ξανά το theme, στην τελευταία του έκδοση. Αν είχες κάνει αλλαγές κατευθείαν στον κώδικα του theme, χωρίς child theme (κακώς), πρέπει να τις σημειώσεις από πριν και να τις ξαναπεράσεις.
  6. Να συνδεθείς στο διαχειριστικό του WordPress και να δεις αν στο Users υπάρχουν χρήστες που δεν γνωρίζεις. Αν ναι, τους σβήνεις. Εάν η βάση που έκανες import στο βήμα 3 ήταν από εποχή που το site δεν είχε μολυνθεί ακόμα, λογικά δεν θα βρεις άγνωστους χρήστες.
  7. Να αλλάξεις τον κωδικό πρόσβασης του διαχειριστή. Αν το site έχει πολλούς χρήστες, μείωσε τους τα δικαιώματα. Μπορούν να περάσουν περιεχόμενο χωρίς να χρειάζεται να είναι διαχειριστές. Επίσης, άλλαξε και σε αυτούς τον κωδικό. Εννοείται ότι οι κωδικοί πρέπει να είναι δυνατοί.
  8. Να χρησιμοποιήσεις κάποια plugins ασφαλείας και να ενεργοποιήσεις τις ρυθμίσεις που προτείνουν. Τα iThemes Security, Wordfence, Sucuri είναι μερικές καλές επιλογές. Απλά μην τα εγκαταστήσεις στα τυφλά, διάβασε πρώτα για τις ρυθμίσεις τους, ενδεχομένως βρες και κάποιες οδηγίες online.
  9. Να ενημερώνεις τακτικά WordPress, plugins και theme.
  10. Να παίρνεις συστηματικά backups σε αρχεία και βάση ώστε αν σου ξανασυμβεί τουλάχιστον να μπορείς να το επαναφέρεις εύκολα.
  • Like 1
vadou Experienced

vadou

Δημοσ.
Δημοσ.

Ότι είπε ο gsarig + ψάξε εδώ για κάθε ένα plugin που χρησιμοποιείς, όπως και για το theme αν είναι κάποιο έτοιμο, αν υπάρχει κάποιο γνωστό exploit. Θα πρέπει να βρεις την τρύπα που εκμεταλλέυτηκε ο attacker, γιατί διαφορετικά, ακόμα και αν καθαρίσεις τα πάντα, θα μπορεί να σε ξαναχτυπήσει.

torq Mentor

torq

Δημοσ.
  • Μέλος
Δημοσ.

δεν ξέρω αν είναι άσχετο με την ιστορία αλλά πρόσεξα στο ιστορικό μου μπλόκαρε μια IP εξωτερικού που προφανώς προσπάθησε να αποκτήσει πρόσβαση,

 

συγκεκριμένα μου γράφει:

 

Request to REST API denied

URL: domain/wp-json/

 

URL: domain/wp-json/oembed/1.0/embed

 

*domain= το domain μου

 

τι μπορεί να σημαίνει αυτό;

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
 Share
Προς την λίστα θεμάτων
  • Δημιουργία νέου...