[ CoyoteKG @ 28.01.2016. 13:42 ] @
Šta se desilo... možda i nije hakovan dok ne dobijem potvrdu od klijenta, ali postoji mogućnost...

Uradio sam pre 2 meseca backup tog sajta. Doduše na nepravilan način, samo sam prevukao na windows računar sa FTP ceo folder (i na taj način verovatno izgubio permisije)... I eksportovao bazu...

Danas se logovao na FTP i za razliku od prošlog puta vidim gomilu nekih novih foldera i fajlova u root-u.
Izgleda se paralelno hostuje još par sajtova sa istog mesta...

Možda je klijent dao nekom FTP account da iskoristi taj hosting... bem li ga, ali meni to izgleda jako sumnjivo i dok ne dobijem odgovor voleo bih da saznam sledeće korake...

Koji su koraci?

Verujem da bi bilo najlakše vratiti taj moj prvi "backup" i setovati permisije, ali klijent je verovatno radio nešto na sajtu u međuvremenu, tako da je backup mator...

Kako da znam koje foldere i fajlove mogu da obrišem na FTP koji nisu u vezi sa originalnim sajtom koji u treba da bude...?
Kako da budem 100% siguran da taj potencijalni haker nema negde neku skriptu koju može da okine i u svakom momentu da napravi još veći problem?

Da li postoje takvi hakeri paraziti koji žele da uštede neki dolar i hostuju neki svoj sajt (ovo je nešto vezano za prodaju cigareta), a da ne diraju "domaćina"?

[ cyBerManIA @ 28.01.2016. 16:12 ] @
Super ti je i taj backup. Vecina nemaju nikakav. :D
Permisije se srede ocas posla. U WPu ces imati dve razlicite permisije i to je to.
Ali polako, prvo proveri da li je hakovan.

Kada zaraze neki sajt, to u 99% slucajeva nije da bi hostovali sajt nego da bi okacili remote shell, proxy ili neki skener.

Jel' se javio klijent? Koji tip hostinga je u pitanju? kakav sve pristup imas serveru?
[ kunc @ 28.01.2016. 16:50 ] @
Poigraj se sa ovim alatom. Postoji mogućnost da ti je klient dao SFTP pristup da "neko" testira site ili aplikaciju.
[ CoyoteKG @ 28.01.2016. 17:57 ] @
Ja se bas pitao sto niko da odgovori, da mi stigne mail :). Ali iz nekog razloga nisu mi stigli mailovi da se ovde pise, iako sam ukljucio email pracenje...

Ovako, resio sam problem. valjda :)
Nije se javio jos klijent, ali definitivno ovo je neki ilegalni shop cigareta i kojecega...
Kolega mi je rekao da je hack 100%.

Promenio sam prvo sve kredencije, od FTP, WP, DB, pa do tog hosting portala. Sklonio sam i sa WP admin user...

Bekapovao sam ceo sajt, lokalno instalirao xampp i najnoviju WP stranicu, iz tog danasnjeg bekapa sam izvukao wp-content i iskopirao ga kod mene lokalno na racunar.
Sajt je proradio i sve ostale funkcionalnosti...

Obrisao sam sve sto sam imao na tom hostingu i iskopirao ovo sa lokala.
Obrisao neaktivne pluginove, i azurirao stare...

Sad ostaje samo mogucnost da u bazi podataka imam neke repove, ali sam promenio user pass...
I ostaje mogucnost da u wp-content postoji nesto...


Za WPScan sam cuo, ali nisam jos ga probao jer moram prvo izgleda da dignem neku Linux VM da bi mi on radio...
Definitivno mi je to prvi zadatak, da pocnem da cekiram sve sajtove koje mi "odrzavamo". I da promenim sve passworde i usere koje sam preuzeo od bivseg kolege, jer je on ostavljao admin usere, i na njih stavljao pass "imesajta01"...

Naisao sam na neki drugi online checker, i ocena mi je dobra... U pitanju je https://hackertarget.com/wordpress-security-scan/





[Ovu poruku je menjao CoyoteKG dana 28.01.2016. u 19:10 GMT+1]
[ kunc @ 28.01.2016. 18:46 ] @
Mislim da nije uredu nesto sa mail sistemom na forumu. Naime dolaze mailovi, ali u spam filter.

Na čemu vrtiš WP? Windows server ili linux? Ova stranica je slična alatu, samo eto opet više preferiram koristiti alat na vlastitom serveru.

Problem je u tome, ako na serveru ima neka maliciozna skripta, dzaba mijenjaš kredenticijale. Uvijek si ranjiv. Moraš sjest, pregledat svaki fajl pojedinačno,
i vidjet da li ima u njemu neki maliciozni kod ili maliciozna datoteka.
[ CoyoteKG @ 28.01.2016. 19:03 ] @
Na iznajmljenom hostingu je WP, kojem imam pristup samo FTP i pomocu nekog panela da kreiram DB i to je to...
Ne znam sad ovako napamet, mislim da je world4you hosting ili tako nesto...


Kako da pregledam svaki fajl pojedinacno? Pa tu ima hiljade fajlova :o
Ima li neki alat za to?


edit:
vredili li instalirati ovakav neki plugin?
https://wordpress.org/plugins/wordfence/

[Ovu poruku je menjao CoyoteKG dana 28.01.2016. u 20:53 GMT+1]
[ kunc @ 28.01.2016. 20:09 ] @
Imao sam jednom samo do sada problema sa tim. I to zbog ranjivosti plugina gdje je neko iskoristio sql injection.

Pročitaj malo ovaj članak

Postoje razni plugini za otkrivanje, samo ne znam koliko si tačni. Stvarno nisam nikada koristio takvu vrstu plugina.
[ cyBerManIA @ 02.02.2016. 17:10 ] @
Jel' si uspeo da resis problem? Sta je na kraju bilo?

Citat:
Kako da pregledam svaki fajl pojedinacno? Pa tu ima hiljade fajlova :o

Ako koristis custom temu, moras da pregledas svaki fajl. Ukoliko koristis sa wordpress.org sajta, postupak je kao i za pluginove.

Pluginove i core WP updateuj. Ukoliko neki plugin nema novi update, moraces da ga forsiras.
To je automatska metoda. Rucna je preko FTP/SFTP/SSH. Obrises folder plugina i uploadujes nov.
Ukoliko ides ovom metodom, nemoj da otvaras sajt jer ce ga WP po defaultu iskljuciti kada vidi da fale fajlovi. Mozes da postavis maintenance mod tako sto ces u root folderu postaviti .maintenance fajl.

[ CoyoteKG @ 02.02.2016. 23:55 ] @
Pa resio sam problem... Onako kako sam napisao 2 posta gore... Sve je up to date sada...
Jedino sto nisam jos skenirao fajlove nikako, jer sam morao hitno na neki sluzbeni put.
To sad radi sve, ali mi je frka da slucajno nije ostalo nesto sto ne treba da bude tu...
Krajem nedelje sam ponovo u KG pa cu probati sa nekim AV pluginovima...
[ CoyoteKG @ 12.02.2016. 14:49 ] @
Ovako, probao sam neki Sucuri plugin. Ima dugme da skenira malware :). Šalim se...
Uglavnom, ima čini mi se dobar Dashboard gde mogu da pratim sve izmene, sve loginove, pokusaje....
Ima dosta nekih pojasnjenja šta mi nije pravilno setovano, ali to još ne kapiram, pa moram da guglam jedno po jedno....

U međuvremenu, hakovali mi još jedan sajt, skroz na drugi način.
Prethodni kolega je na ovom WP sajtu ostavio user admin, i password je imesajta01

Neki bot je verovatno to provalio iz trećeg pokušaja :). Prvo admin/admin pa admin/12345 pa onda ovo... :)

Ovaj bot nije uradio kao prethodni slucaj sto sam imao, nego je ispisao nekih 200 besmislenih postova zadnjih 15 dana.
Nisam citao te postove detaljno, ali bilo je nekih linkova na koje nisam klikao, ali su vodili na sajtove sa prodajom necega... recimo vencanica...

Pocistio sam te blogove, obrisao admin user, promenio passworde, u media vidim da nema nicega u zadnje 2 godine.
Da li je mogao taj bot iz admin panela nekako da "importuje php skripte"?
Kolega mi kaze da to moze samo sa FTP, da ne moze iz WP-admin...


Ono sto me buni, je neki plugin koji vidim da je instaliran i aktivan, a zove se Login Wall. Sta je on tu radio? :)


I kad sam izguglao prvi rezultat sam dobio sledece na githubu sto je neko dzoni napisao :)

https://gist.github.com/dz0ny/a473db0a8d9a11319e4b

I prvo sto gore pise je "Wordpress Malware List" sto me malo plasi, pored imena autora :). Mozda sam i previse paranoian, al jbg, neznanje me hebe, pa mi je sad sve sumnjivo.

Citat:


Ono sto me buni, ako je to neki malware, Izgleda nema veze sa ovim napadom, jer vidim na FTP da taj fajl postoji otkad postoji i sajt, dakle od pre 2 godine cak... A ovaj hack je aktivan zadnjih 15 dana... A ono jes... u tom plugin folderu se nalazi samo jedna php skripta. U attachmentu je... Ne znam PHP pa ne znam sta radi ova sktipta

Kad pokusam da pretrazim Wordpress plugin Directory, ne vidim da uopste postoji ovakav plugin i ime autora,

Sta sad pametno mogu da uradim?


[Ovu poruku je menjao CoyoteKG dana 12.02.2016. u 15:59 GMT+1]
[ CoyoteKG @ 11.03.2016. 12:57 ] @
Zanimljivost...

Nisam znao da ovaj 360 Total Security (av koji koristim za moj racunar) moze da skenira i detektuje viruse u PHP kodu...

Odnosno sad brljam nesto po njemu, i ove sajtove koji su bili hakovani, bekapovao sam fajlove lokalno kod mene, i on ih je pretrazio i gurnuo neke fajlov eu karantin. :)