← WordPress

WordPress Hackeado?

Lida 6052 vezes

Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

Boas,

Hoje quando acordei, como habitual fui ver os meus sites. Quando me deparo que não consigo entrar num, dizendo que tenho a password ou usuario errado, tentei varias vezes e nada.

Achei muito estranho e fui logo ao phpmyadmin ver como aquilo estava. E no lugar de user_login, em vez de estar o meu nome, estava "dz". Vi logo que alguém o tinha mudado, não sei como. Mudei de voltas para o meu nome e tentei fazer login de novo, mas pelos vistos também me tinham mudado a password.

Já aconteceu isto a alguém? Alguém sabe o que possa ser?

Felizmente até agora não vi nada de mal no site...

Obrigado
Offline

cjseven 
Administrador
Mensagens 1809 Gostos 26
Feedback +3

Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 1000 Posts

Verificaste os ficheiros por FTP?

Um cliente meu foi hackeado há dias e aparentemente estava tudo ok. No entanto a instalação estava infectada e cheia de ficheiros extraordinários criados pelo hacker.
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

Verificaste os ficheiros por FTP?

Um cliente meu foi hackeado há dias e aparentemente estava tudo ok. No entanto a instalação estava infectada e cheia de ficheiros extraordinários criados pelo hacker.

Sim, até agora não vi nada.

Existe algum log para ver o ftp?
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

EDIT:
Esquece.

Tenho em todas as pastas o ficheiro dz.txt com: by Over-X & BlackHunter.Dz Greetz2: Ev!sCr!pT_Dz BisCo.Dz Login.dz and All Dz
Offline

alopes 
Membro
Mensagens 373 Gostos 8
Feedback -1

Troféus totais: 22
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts 10 Posts

Existem várias possibilidades. Verifica se os teus ficheiros têm o seguinte código (e remove):

Código: [Seleccione]
<?php eval(base64_decode('aWYoZnVuY3Rpb25fZ..............')); ?>

Outras explicações:
- chmod errado
- Wordpress desactualizado
- scripts / plugins nulled
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

Existem várias possibilidades. Verifica se os teus ficheiros têm o seguinte código (e remove):

Código: [Seleccione]
<?php eval(base64_decode('aWYoZnVuY3Rpb25fZ..............')); ?>

Outras explicações:
- chmod errado
- Wordpress desactualizado
- scripts / plugins nulled

Nada.
Offline

cjseven 
Administrador
Mensagens 1809 Gostos 26
Feedback +3

Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 1000 Posts

Quanto a log não te sei dizer...

O que costumo fazer nestes casos é ordenar os ficheiros e pastas por data e verificar os ficheiros mais recentes (a partir da data em que detectaste a intrusão).

Se tiveres um backup, repõe e depois verifica se tens alguma coisa desactualizada.

O servidor está em suPHP? (não necessita de permissões 777?)
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

Quanto a log não te sei dizer...

O que costumo fazer nestes casos é ordenar os ficheiros e pastas por data e verificar os ficheiros mais recentes (a partir da data em que detectaste a intrusão).

Se tiveres um backup, repõe e depois verifica se tens alguma coisa desactualizada.

O servidor está em suPHP? (não necessita de permissões 777?)

Boa!

Encontrei o ficheiro mass.php que tem o código do hacker.

Apaguei e não encontrei mais nada.

Alguém que perceba pode-me ajudar a ver o código, para ver onde está a falha no site? :S
Offline

cjseven 
Administrador
Mensagens 1809 Gostos 26
Feedback +3

Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 1000 Posts

O WP está actualizado?

Se sim, duvido que alguém consiga perceber onde está a falha... a não ser que reveja todo o código do wordpress.

Tens muitos plugins instalados? Estão todos actualizados?

Qual é o theme? Está actualizado?

Verifica se não tens nenhuma pasta ou ficheiro com permissões de escrita. Verfica tb todas as pastas pois podes ter mais ficheiros colocados dentro das pastas internas dos plugins, themes, etc.

O melhor mesmo era repores um backup limpo do ataque e procederes a medidas de segurança relativamente às permissões e actualizações de WP, theme e plugins.
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

O WP está actualizado?

Se sim, duvido que alguém consiga perceber onde está a falha... a não ser que reveja todo o código do wordpress.

Tens muitos plugins instalados? Estão todos actualizados?

Qual é o theme? Está actualizado?

Verifica se não tens nenhuma pasta ou ficheiro com permissões de escrita. Verfica tb todas as pastas pois podes ter mais ficheiros colocados dentro das pastas internas dos plugins, themes, etc.

O melhor mesmo era repores um backup limpo do ataque e procederes a medidas de segurança relativamente às permissões e actualizações de WP, theme e plugins.

Está tudo actualizado. Estou a ver dentro de todas as pastas e até agora só vi o ficheiro dz.txt.

Sim, tenho alguns plugins, foi o que pensei logo, que tenha sido de algum plugin. Mas está tudo actualizado.

Acho que é o que vou fazer, repor backup de ontem ou antes de ontem. (Se tiver lol)
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

Mais uma coisa que vi, o plugin Akismet foi apagado...
Offline

anjo2 
Membro
Mensagens 3020 Gostos 0
Troféus totais: 31
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2

Já contactaste a tua empresa de alojamento? É das primeiras coisas a fazer.
Offline

Jota 
Editor
Mensagens 773 Gostos 0
Feedback +1

Troféus totais: 27
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Bastanto chato :(

Gostava de te poder ajudar, mas tirando o que ja disseram nao tenho nada de novo a acrescentar.

A unica coisa que posso dizer, ve se nao adicionaram nenhuma row em tabelas do wordpress com codigo.
Offline

Carlos Gandra 
Administrador
Mensagens 3081 Gostos 97
Feedback +1

Troféus totais: 34
Trófeus: (Ver todos)
Level 6 Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4

Sim, tenho alguns plugins, foi o que pensei logo, que tenha sido de algum plugin. Mas está tudo actualizado.

Verifica os detalhes e o feedback de cada, podes ter os plugins actualizados mas cuja última actualização não seja recente ou sequer segura.

Em relação aos ficheiros no teu lugar apagava tudo (depois de backup claro) e fazia uma nova instalação do Wordpress, limpinha.
Offline

Pedro Lopes 
Beta tester
Mensagens 3568 Gostos 18
Feedback +6

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

Verifica os detalhes e o feedback de cada, podes ter os plugins actualizados mas cuja última actualização não seja recente ou sequer segura.

Em relação aos ficheiros no teu lugar apagava tudo (depois de backup claro) e fazia uma nova instalação do Wordpress, limpinha.

Quanto à segurança dos plugins, até agora não encontrei aqui nada - http://www.wpsecure.net/