LINUX.ORG.RU
ФорумAdmin

Взломан сайт. Пришло письмо от google. Как лечить?

 , ,


0

2

Пришло письмо от google, пишут, что сайт взломан.

A hacker may have modified your site to contain spammy content. To protect visitors to your
site, Google’s search results may label your site’s pages as hacked. We may also show an
older, clean version of your site.

Что реально вижу - при переходе по ссылкам этот сайт пересылает на какой-то китайский магазин.

Движок сайта - wordpress.

Как чинить?

Как удалить больные ссылки?

Спасибо.



Последнее исправление: joe_diez (всего исправлений: 3)

Аудит безопасности.
Источник проблемы — уязвимости, а взлом — лишь следствие дырявости.
Если дыры не найти и не заткнуть, то так и будут ломать.

ArcFi
()
Ответ на: комментарий от ugoday

Ну, ОС переустанавливать не обязательно. В 99% (и сколько-то там ещё девяток после запятой) случаев сайты ломают через дыры в самих сайтов, и не лезут дальше других сайтов доступных от того-же пользователя (и то этим не часто заморачиваются).

MrClon ★★★★★
()
Ответ на: комментарий от ArcFi

Источник проблемы — уязвимости

Учитывая вводные уязвимость скорее всего (в порядке ероятности) либо в самом WP (если он не обновляется), либо в плагинах, либо в теме.
Если WP обновляется регулярно то он уходит в конец списка.

MrClon ★★★★★
()

Это тот самый момент в твоей жизни когда ты пару недель назад должен был задать себе вопрос «А правильно-ли у меня организован процесс разработки сайта, отделена-ли она от продекшена? Или, на худой конец, есть-ли у меня бекапы?».

MrClon ★★★★★
()

Движок сайта - wordpress.

Необновлявшийся и забитый плагинами?

EXL ★★★★★
()

Как лечить?

Выбросить Wordpress, например.

h578b1bde ★☆
()
Ответ на: комментарий от Deleted

Использую WP уже года четыре, несколько сайтов, посещаемость от 100 до 3000 человек в день, брат жив, за всё время один взлом dev-версии сайта. ЧЯДНТ?

MrClon ★★★★★
()
Ответ на: комментарий от snaf

index.php выгядит нормально.

Есть PHP файлы в корне, которые явно не относятся к wordpress. Один из них: http://pastebin.com/fjmQHpzK

В логах доступа вижу на эти файлы постоянно генерируются запросы GET.

Непонятно, как они попали в каталог public_html. Права на все файлы - 644, на папки - 775.

Понятно, что вордпресс - дыра, но с этим приходится иметь дело.

joe_diez
() автор топика
Ответ на: комментарий от joe_diez

Непонятно, как они попали в каталог public_html

Через дыру в одном из плагинов, через дыру в теме, или через дыру в самом WP.

MrClon ★★★★★
()
Ответ на: комментарий от joe_diez

Есть PHP файлы в корне, которые явно не относятся к wordpress. Один из них: http://pastebin.com/fjmQHpzK

Скрипт подсовывает в карту сайта левые ссылки и прописывают рерайты в .htaccess.

Проблему решили или нужна помощь?

Aleksandra
()
Ответ на: комментарий от MrClon

Да что вы говорите.... прям новогодняя сказка какая-то... вы бы еще 146% приписали... а лучше бы минимум этот форум вспомнили, сколько тут криков было да и еще будет. Да что там говорить, мне по наследству недавно прилетела vps-ка с wp на борту, кол-во «какашек» в системе было чуть больше чем дофига.

anc ★★★★★
()

в jobs вероятно

anonymous
()
Ответ на: комментарий от anc

На тысячу криков про «взломали сервер через WP» будет миллион про «взломали WP». Да и те люди которые обычно прибегают сюда с жалобами на взлом как правило не проводят серьёзного расследования что-бы вяснить как именно их взломали — через WP и повышение привилегий, или через root:Qwerty1

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Смотрите вы сами согласились с «тысячей» хоть и на «миллион» т.е. факт есть, и кто сказал что у ТС не он?. Второе, никто не сказал что не проводят расследование, я бы сказал что мало кто пишет итоги расследования. Третье, еще до появления всяких wp и т.п. веб ломали полным ходом и приходилось проводить расследование т.к. одного восстановление из бэкапа системы было мало, дабы потом еще раз не сломали. Вообще как 18 лет назад так и сейчас ничего в этой сфере не поменялось, восстановить из бэкапа + провести расследование. Иначе пытаться понять что именно в системе еще может остаться по меньшей мере глупо.

anc ★★★★★
()
Ответ на: комментарий от anc

Так я изначально говорил про вероятность. Если n% взломов сайтов не влекут за собой повышение привилегий то априорная вероятность того что взлом ТСа не повлёк за собой повышения привилегий составляет n%. И абсолютные числа тут не важны, сколь-бы огромны они не были.

WP/неWP — не важно, важно что это частая жертва взломов. Это повышает (или во всяком случае не снижает) вероятность того что данный взлом является типичным. Типичный взлом сейчас не сопровождается повышением привилегий.

Я не спорю что кошерное реагирование на взлом (дамп всех носителей, полная переустановка ОС, выкатка сайта, расследование с параллельным повышенным наблюдением над сайтом (на случай повторной эксплуатации не выявленной ещё уязвимости)) это кошернее. Но это работает при наличии соответствующих специалистов, а у ТСа кажется даже бекапов не было.

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

С такими доводами согласен.
ТС обрати внимание, MrClon в последнем абзаце все правильно пишет.

anc ★★★★★
()
Ответ на: комментарий от Aleksandra

Спасибо за информативное сообщение. :) Проблему решил.

Переименовал все файлы, на которые шли запросы извне. Обновил вордпресс. Поставил wordfence, оно сканирует файлы вордпресс и находит вредоносные файлы.

joe_diez
() автор топика

взять бэкап и то что есть, сравнить хеши, разные файлы посмотреть через vimdiff backupfile.php curentfile.php найденные изменения найти везде в остальных файлах через grep «что_мы_нашли» /

Dron ★★★★★
()
Последнее исправление: Dron (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.