Rozwiązane Ktoś mi się włamał na stronę

Ktoś włamał mi się na stronę i podmienił linki, Najlepsze jest to, że gdy w edycję posta to linki są takie jak powinny być, a jak wejdę na stronę to linki są podmienione. Więc podmienia to albo jakiś skrypt albo ktoś co dopisał do kodu strony, tylko gdzie? Ma ktoś pomysł jak to naprawić?

Najprościej przywrócić jakiś wcześniejszy backup strony ale możesz też sprawdzać po kolei każdy plik kiedy został edytowany (wersja dla hardkorów )

Pozmieniaj hasła dostępowe i posprawdzaj czy nie masz gdzieś jakiegoś backdoora.

Przeskanuj komputer jakimś antywirusem, może masz jakiegoś keylogera.

Zrób kopie zapasową postów, usuń wszystkie pliki z hostingu, wgraj i zainstaluj na nowo, wgraj kopie postów.

Pozmieniaj wszystkie hasła, do wszystkiego. Nie używaj znullowanych szablonów/wtyczek. Ustawiaj mocno losowe hasła ze znakami specjalnymi.

No i jeszcze sprawdź na jakim hostingu zarabia cracker i napisz do Admina z prośbą o zablokowanie.

Dzięki za pomysły, zabieram się za działanie. Widzę już w plikach jakieś kody base64.

używałeś wtyczki wp protect ?

Dzięki za pomysły, zabieram się za działanie. Widzę już w plikach jakieś kody base64.

Sprawdzanie każdego pliku nie ma najmniejszego sensu, bo bez dosoba oświadczenia nie zauważy wszystkiego, zawsze coś zostanie itd.

Ktoś włamał mi się na stronę i podmienił linki, Najlepsze jest to, że gdy w edycję posta to linki są takie jak powinny być, a jak wejdę na stronę to linki są podmienione. Więc podmienia to albo jakiś skrypt albo ktoś co dopisał do kodu strony, tylko gdzie? Ma ktoś pomysł jak to naprawić?

Zapoznaj się z tą wtyczką i obejrzyj trzy filmy aby zrozumieć lepiej jej działania.

Link: http://make-cash.pl/zabezpiecz-blog-przed-intruzem-t2301/#entry27129

używałeś wtyczki wp protect ?

Tak, a ma ona jakąś dziurę?

W 3 plikach były dodane kody base64, przywróciłem oryginalne pliki i wszystko działa. Teraz pozmieniam hasła, kompa przeskanuję i dzięki MixKosa za linka, zaraz poczytam i zacznę działać w tym kierunku.

Tak, a ma ona jakąś dziurę?

 

 

W 3 plikach były dodane kody base64, przywróciłem oryginalne pliki i wszystko działa. Teraz pozmieniam hasła, kompa przeskanuję i dzięki MixKosa za linka, zaraz poczytam i zacznę działać w tym kierunku.

No dobra wszystko działa, ale nie wiesz czy coś jeszcze siedzi w plikach. A za tydzień znowu będzie to samo...

Szkoda że poradnik nie jest podpięty jak prosiłem Ciemciaja, więcej osób by się zabezpieczyło.

Pliki na hostingu przejrzałem, stronę przeskanowałem, napisałem w tej sprawie również do hostingodawcy czy nie było nieautoryzowanych logowań na moje konto, a z tematu, który zaproponował MixKosa niezwłocznie zrobię użytek.

EDIT:

Ten koleś podmienił linki, do plików które ma na trustdownloader.com, chciałem napisać do admina o zbanowanie tego gościa, ale to chyba jest jakaś strona prywatna.

Ktoś włamał mi się na stronę i podmienił linki, Najlepsze jest to, że gdy w edycję posta to linki są takie jak powinny być, a jak wejdę na stronę to linki są podmienione. Więc podmienia to albo jakiś skrypt albo ktoś co dopisał do kodu strony, tylko gdzie? Ma ktoś pomysł jak to naprawić?

Podziel się może informacją czy pobierałeś jakiś program stworzony przez osobą związaną z ppa. Możliwe, że podrzucony był tam keylogger.

UP tak. Przez przypadek spod jednego z filmików.

nie było żadnego nieautoryzowanego logowania, tego kod został wstrzyknięty

masz na stronie dziure lub luka jest w samym serwerze przez którą można wrzucić shella na twoje konto, dzięki któremu ma się pełną władze nad wszystkim 

poszukaj plików o dziwnej nazwie w katalogach, choć zapewne haxor usunął go po sobie

na Twoim miejscu postawiłbym wordpressa od nowa i nie korzystał w wielu wtyczek, sprawdź również swoje chmody czy przypadkiem nie masz 777

Problem powrócił, znowu podmienione są linki, jedyne co dziwne znalazłem do plik Sniffer.php nie wiem czy to to, jest w nim odnonik do instukcji, ktora jest tu: http://tools.ietf.org/html/draft-abarth-mime-sniff-06

z całą pewnością to, to

kasuj wszystko z serwera i stawiaj nowy wordpress

UP dzięki za redę, biorę się za czyszczenie.

Hmm.. ciekawe, że nikt tego Ci wcześniej nie doradził.