fillosofik
@fillosofik
любитель интернета

Как очистить Wordpress от злоумышленников?

На сайте под управлением Wordpress появился пользователь с правами администратора под ником Superuser23852. Я решил избавиться от него и откатил сайт на пару недель назад. Через несколько часов опять появился неизвестный админ сайта, но уже под ником Superuser25488. Так продолжалось (восстанавливал сайт из резервной копии) несколько раз, увеличивая время отката сайта, но этот способ не помогал, злоумышленник, каким-то образом проникал в админку и хостинг блокировал мой сайт, так как через некоторое время начиналась СПАМ-рассылка с сервера от имени сайта.
На сайте у меня установлен плагин Theme My Login, модуль безопасности настроен на то, чтобы после двух неверных вводов пароля или логина пользователь блокируется на сутки. Я обратил внимание, что каждый раз при появлении неизвестного администратора на сайте, из 250 пользователей 10-15 users заблокированы плагином Theme My Login. Получается, что взлом сайта под управлением Wordpress происходит с помощью подбора паролей. Логины пользователей злоумышленник брал из комментариев на сайте...
Мои действия
Я решил удалить WordPress и залить самую последнюю версию с официального сайта, а затем подключил старую БД, ту которая и была до взлома. После проделанных манипуляций, через часов 6-8 захожу на сайт и вижу прежнюю картину - неизвестный админ и десяток пользователей заблокированы, из которых 2 администратора. Получается плагин Theme My Login не спасает в сложившейся ситуации.

Ребята, что вы мне посоветуете, как избавится от несанкционированного проникновения в админку сайта и от рассылки спама на сервере?

P.S.: Забыл о ещё одном факторе, который присутствовал на всех взломанных сайтах. Больше 1000 обращений к несуществующим страницам сайта и адреса на всех сайтах одинаковы, особенно начало:
/wpvotrz/otiarw.php?fw=ben-ed-play-demo-and-free-exception
/wpvotrz/otiarw.php?fw=blueberry-oatmeal-bars
/wpvotrz/otiarw.php?fw=cornstarch-for-fleas-on-cats
и т.д. и т.п.
  • Вопрос задан
  • 1756 просмотров
Пригласить эксперта
Ответы на вопрос 4
mausspb
@mausspb
web разработчик, системный администратор
  • Определите точку взлома. Постарайтесь локализовать причину взлома, определив примерное время взлома и читайте логи.
  • Установите новую версию рядом из сохраненных бекапов, просканируйте на наличие malaware например с помощью онлайн сервисов https://wpscans.com/ или offline типа дистриба kali linux
  • Смените все пароли в БД , в частности для доступа к самой БД
  • Посмотрите список юзеров в WP
  • Настройте корректные права на доступ к файлам и директориям
  • Проверьте движок и плагины на возможность обновления
  • Включите на веб сервере расширенное логирование
  • Сделайте бекап текущей версии
  • Замените взломанную версию на новую

Если взломы повторятся, то восстановите сайт из свежесделанного бекапа и попробуйте отключать плагины по одному, самая часа причина взломов - это плагины, которые не обновляются , а их уже давно взломали.

P.S.: Как выше написали - так же стоит закрыть админку, я бы еще добавил блокировку при вводе нескольких не верных паролей с помощью fail2ban.
Ответ написан
@MOTORIST
Shell словили. Просканируйте площадку вот этим https://revisium.com/ai/ , удалите шелы.
Закройте админку базовой авторизацией через htaccess, если у Вас appache (придется два раза вводить пароль в админку, зато наверняка).
Ответ написан
@Molokov
Это шелл. У меня было так же.
Вылечил установкой чистого движка без плагинов.
Шел нашел сравнив файлы с чистой установки.
Удачи!
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы