Suport » Problemes i com puc fer això » script maliciós

  • Em poso en contacte per veure si algú de la comunitat té coneixement del possible origen del problema que ens ha aparegut.

    Ahir vam detectar que la pàgina trigava molt a obrir-se i vam trobar que a l’arxiu “header.php” apareixia un script on hi havia la url d’una pàgina d’uns venedros de cases canadencs, no erem redirigits a aquesta pàgina només es produia un alentiment en l’obertura de la nostra pàgina que trigava gairebé 1 minut.

    Curiosament el mateix script apareixia als header.php de tots els “themes” que hi ha penjats al servidor.

    Vam editar l’arxiu i eliminar manualment el script només del theme en ús.

    Aquest matí ha aparegut un altre script en aquest cas hi ha la url d’una empresa de reclicatge txeca i curiosament aquest és el script que apareix als header.php de tots els themes.

    L’hem eliminat mnualment i de mment farem la comprobació diariament mentre no trobem una solució definitiva.

S'està mostrant 6 respostes - de la 1 a la 6 (d'un total de 6)
  • Moderador cubells

    (@cubells)

    Alguna extensió que teniu té alguna vulnerabilitat que permet a un atacant modificar fitxers del vostre servidor.

    Hauríeu de mirar una per una totes les extensions comprovant si alguna no està actualitzada o no es manté ja.

    Remireu tots els fitxers del servidor per si hi ha algun fitxer o carpeta que no es correspon amb la instal·lació normal del WordPress.

    Ja direu com us ha anat.

    El problema persisteix, quan em vaig fer càrrec del lloc hi havia instal·lades 7 extensions i només estava activada “MailPoet Newsletters”, de moment no em vaig preocupar de les actualitzacions i només vaig activar “Akismet”.

    El propietari de la pàgina em va demanar que s’afegis un comptador de visites i en vaig provar quatre:
    – Stats Counter
    – Visitors Realtime Statistics
    – WP Ppwer Stats
    i el que al final li va agradar més
    – WP Statistics 10.1
    uns dies després és quan vam començar a detectar l’alentiment al carregar-se la pàgina.

    Es va desactivar el plugin d’estadístiques i es van esborrar els 4, els altres 3 estaven desactivats, però no esborrats.

    Després es van instalar unes extensions per crear formularis, però és posterior a laparició del problema descrit.

    Actualmdnt totes les extensions activades i desactivades estan actualitzades amb la darera versió disponible.

    La pàgina funciona amb una versió una mica obsoleta de wordpress, la 4.1, el problem podria tenir el seu origen en aquest fet?

    Moderador cubells

    (@cubells)

    I tant que pot ser perquè tingueu una versió antiquada del WordPress.

    Hi ha hagut un munt d’actualitzacions de seguretat que corregien vulnerabilitats greus des de la versió 4.1.

    Però no només pot ser això. Depenent de la configuració del vostre servidor on esteu hostatjats, de les extensions instal·lades també pot ser.

    Et recomano aquesta extensió: wordfence, que permet scanejar el teu wordpress comparant-lo amb el wordpress estàndard. Et servirà per saber quins fitxers han canviat, i també t’assegurarà el WordPress.

    Bé, el wordfence m’ha donat al final del scanejat una llarga llista de problemesi infeccions, a banda de que la pàgina:

    http://www.nemsabadell.eu/

    està en aquests moments blacklisted per google.

    He actualitzat els elements que que estaven anticuats excepte la versió de wordpress i he utilitzat la opció de bulk repair dels arxius afectats, en total 365 arxius.

    Hi ha una opció de bulk delete en diversos arxius “not a core them or plugin file” que voldria que m’aconsellessiu abans de procedir a esborrar-los.

    Com a continuació del missatge d’ahir he de dir que aquest matí he arribat a un cul de sac, la pàgina no és accessible i tsampoc no puc accedir a la pàgina de login.

    Depenent del navegador rebo respostes diferents:

    – En el cas de firefox surt l’avís de que la pàgina està a la llista de locs perillosos i quan dic uqe ho ignorin em surt una pàgina en blanc en ambdós casos.

    – Amb el Microsoft Edge ems surt error http 500 tmbé en ambdós casos.

    Disposo d’accés al WHM, per tant podria accedir directament als arxius dins del servidor.

    Moderador cubells

    (@cubells)

    El wordfence fa falsos positius. Vés amb cura amb el que esborres.

    Hauries de fer més coses al teu servidor:

    – sobreescriure tots els fitxers del WordPress amb els d’una còpia neta

    – revisar tots els directoris carpetes per comprovar que no hi ha cap directori/fitxer incorrecte.

    – anar a ca google per corregir el problema del bloqueig.

    Si vols, et puc donar un cop de mà o bé deixant-me connectar-me al tauler de l’allotjament o bé passant-me una còpia de tots els fitxers del servidor i jo te’ls retornaria nets. El meu correu privat: vicent arrova vcubells punt net.

    Tot això si et refies de mi.

S'està mostrant 6 respostes - de la 1 a la 6 (d'un total de 6)
  • El tema «script maliciós» està tancat a noves respostes.