todle je teda web na ignum a predpokladam ze je nekdo sundal komplet, takze to s WP nema moc spojitost

na jinym webu u klienta jsem nicmene uplne nahodou pri praci v backendu videl v seznamu pluginu deaktivovanej plugin co tam nemel co delat a byl to jen decoy, spinavy soubory co se tvarily jako plugin. plus byl v /wp-content/uploads/2019/03/ nejakej nesmysl.php, o kterym taky netusim jak se tam dostal. oboji jsem smazal a zatim klid, ale moje paranoia teda roste vic a vic.

MRTVY_KENNY: nefungovala administrace, byla schvalne zablokovana pres htaccess

sledujte tu vrazdu, na ftp jsem smazal VSECHNO a zavirovanej index.php se stejne neustale vraci - vypada to ze chyba neni ve WP ale padl celej server: https://screencast-o-matic.com/watch/cqeuYf0P9Q

HARDCABB: a jak jsi na to prisel? jinak 150e asi neni uplne spatne, nekdy to je dost opruz

jinak zvysene docela je, pravda.. (graf z wordfence)

Rozloupal jsem ten kód z index.php. Přikládám v příloze.

Nemám čas se v tom moc hrabat, takže to berte s rezervou, ale můj odhad na první dobrou je, že to má crawlerům cpát jiné dokazy (takže liknbuilding :) ), nebo se útočník bude tvářit jako crawler, aby nebyl nápadný v logu. Jinak je tam ještě seznam IP adres, které by stálo za to proklepnout. Buď od tud chodí útočník, nebo jsou to crawlery.

Přenechávám k dalšímu pitvání :)

• unobfus.txt

Jinak co do toho koukám, tak to tam jede eval a pokud vím, WP eval nepotřebuje (u pluginů člověk neví, ale jádro prostě nepotřebuje). Tj. pokud si zakážeš eval, mělo by to být v pohodě.

To samozřejmě neřeší, jak se tam ta věc dostala. Kandidátem jsou pluginy, co nějak zapisují do souborů. Takže cache (náhodou, nemáš tam W3 Total Cache? ), cokoliv co si řeší updaty jinak než standardně, generátory feedů a podobně. No a nebo jestli se tam třeba někdo nepřipojuje na FTP bez šifrování, ale to už je velkej kyberpunk :)

CYBERWOLF: nemam, sorry vole :))

uz jsem si najal nejakou firmu co cisti napadeny WP, chtej za to €150 a vysledek bude do 24 hodin. tak jsem zvedavej co s tim provedou.

HARDCABB: zajímavý, nenašel bys tam ještě md5_check.php?

CYBERWOLF: jsou toho fakt tuny, rozlezly dokonce do slozek co nemaj s WP nic spolecnyho, vubec nevim co s tim ted delat

• wp-interst.php
• wp-counts.php
• newsslide.php
• ms.php
• index2.php
• index.php
• akismet.php

HARDCABB: možná, kdybys napsal nějaký detaily ohledně těch zakódovaných souborů, že bych se mohl podívat. Nebo je třeba rovnou lupnout jako přílohu (nyx je spouštět nebude a asi nikdo nebude takovej filuta, že by si je nahrál na web).

za posledni tyden mam napadeny dva weby, oba pravidelne aktualizovany - nasel jsem zakodovany soubory ruzne na ftp, na jednom webu prepsany komplet vsechno vcetne htaccess, indexu a podobne - nikde na netu ale nemuzu najit ze by se nasla nejaka dira at uz v WP nebo v nejakym pluginu - u vas vsechno ok?

Na Themeforest jsou nejprodávanější šablony a pluginy s výraznou slevou! Konec hlášení.

nedavno jsem zjistoval jak dlouho trva nahodit novou instanci/klon WP. zmena DNS trva podstatne dele..

CITRONAK: To já vím, jenže to neumím. Resp. drbal bych se s tím tak dlouho, že je pro mě rychlejší a jednodušší zazálohovat web a pokud sletí, obnovit jej z té zálohy.
Zatím jsem ale postupně zaktualizoval tři pluginy ze čtyř a web jede, takže zbývá poslední - Woocommerce. Což jsem i podvědomě čekal, že nejspíš bude zakopaný pes v tomhle.

MICKEY_MOUSE: nejlepší by ale bylo si web rozjet třeba na nějaké subdoméně, udělat si tam kopii a tam si s tím hrát. Jak zjistíš, čím to je, tak provedeš už vše ok na produkční verzi.

Zdravím, potřebuji poradit k pluginům. Spadne mi web, když zaktualizuji pluginy (jsou cca čtyři). Chci přijít na to, který update to dělá a tak se ptám — stačí si z ftp stáhnout složku "wp-content/plugins" a kdyby web aktualizací nějakého pluginu spadl, stačí nahrát na ftp původní složku s daným pluginem a vrátím se do stavu před spadnutím?

Jinak řečeno — projeví se update pluginu jen v jeho složce, anebo to zasahuje i jinam?

Díky!

CYBERWOLF: tak on clovek se vzdycky zdraha doporucovat takhle tu uplne nejvic obvious volbu, at uz jde o cokoliv..