Odvirování WP &#8211; přepisování.htaccess

1. 12. 2022 09:06:51

Koncovka je to na 90% .php ci jeji varianty (php5, php7, php8,.... ).

Casto jsou tyto infikovane soubory sifrovane ( po otevreni neni videt jen PHP, ale zmet znaku ).

Maji specificke nazvy, bud podivne stringy s koncovkou .php, nebo se snazi vypadat napr jako obrazky, napr. image1.jpg.php

Ani odstranenim danych souboru nemusi dojit k zastaveni prepisovani, soubor muze bezet v nejakem procesu, nacten v RAM a smazani souboru to neovlivni. Zaroven soubory ani nemusi byt v docrootech danych webu, ale klidne i v nejake vyssi urovni ( na serverech se radi schovavaji napriklad do /tmp slozky )

Pokud Vam bezi vsechny weby pod jednim uzivatelem, mate praci s opravou tezsi - muze to byt kterykoliv z tech webu.

Doporucuji stahnout vsechny soubory k sobe do PC, projet je nejakym antivirem, aby detekoval a smazal nakazene soubory, pote si vypsat vsechny php soubory a projet rucne nazvy, pokud by se Vam na nejakem z nich neco nezdalo, tak zkontrolovat a pripadne smazat. Pote smazat vsechny soubory na hostingu a nahrat tam jen tyto "vycistene soubory" a doufat, ze to pomuze. Kdyby se mezitim dalo restartovat PHP na tom serveru, vubec by to nebylo na skodu.

1. 12. 2022 09:06:51

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510204

TomasX

1. 12. 2022 10:00:05

antivir na tohle prostě dobře nefunguje.

Míst, které mohou být u WP špatně je více:

- mohli ti uniknout přístupové údaje (na hosting, na ftp, do WP administrace)

- problémové věci mohou být součástí WP databáze

- kompromitovaný soubor může být součástí jakékoliv části nebo i pluginu, pokud můžeš upravovat htaccess, tak si zadní vrátka mohl schovat prakticky kamkoliv a smazat z jednoho místa nemusí být dostatečné

- může být chyba na straně hostingu a přepisuje ti to proces mimo tvého oprávnění

Nejlepší je oslovit někoho, kdo se tím zabývá, když se na to ptáš, nejspíš s tím nemáš dostatek zkušeností a znalostí, může ti něco uniknout.

Osobně bych postupoval následovně:

- resetoval bych veškerá hesla na ftp, administraci hostingu, WP administace

- oslovil hosting, že máš tenhle problém, Wedos s tím občas umí pomoci

- udělal bych okamžitě zálohu všeho, databáze, data na ftp a bezpečně si jí u sebe uložit třeba do zipu, abys měl původní stav

- stáhl bych access logy a logy obecně a zkusil v nich najít, jak a odkud daný člověk přistupuje, následně se přes htaccess/hosting pokusil tenhle přístup zablokovat

- buď bych weby odstavil a nechal přístupné jen pro svoji IP adresu (Wedos umí udělat) nebo bych si aspoň udělal script, který by htaccess po minutách přepisoval na původní hodnotu

- udělal bych novou instalaci WP, převedl nastavení, pluginy a obsah, otestoval, vyčistil komplet ftp a novou verzi nasadil (je nutné sledovat, jestli problém nezačne znovu, třeba si pravidelně dělal komplet zálohu a zjišťovat, jestli neproběhly nějaké změny)

- začal bych prohledávat původní kód a analyzovat, co tam bylo za problém a jestli nebyl kód napadený

1. 12. 2022 10:00:05

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510203

1. 12. 2022 10:09:38

Takže prostě drbačka a drbačka...achjo...jak se to může vlastně dostat na hosting? Heslo mám napsaný offline na papírku...

---------- Příspěvek doplněn 01.12.2022 v 10:14 ----------

Možná bude nejlepší napsat script, co každou minutu opravdu ten .htaccess přepíše zpět, asi zadám do poptávek tady :-)

1. 12. 2022 10:09:38

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510202

wt_kaspy

1. 12. 2022 10:20:23

Napsal sikec;1654783
Takže prostě drbačka a drbačka...achjo...jak se to může vlastně dostat na hosting? Heslo mám napsaný offline na papírku...

---------- Příspěvek doplněn 01.12.2022 v 10:14 ----------

Možná bude nejlepší napsat script, co každou minutu opravdu ten .htaccess přepíše zpět, asi zadám do poptávek tady :-)

Script urcite neni nejlepsi reseni, mozna nejrychlejsi, ale zaroven uplne nejhorsi. Neni to reseni priciny, ale dusledku, coz nikdy nemuze fungovat. Nehlede na vypadky fungovani webu mezi prepisem htacces od viru a od Vaseho programu.

Budte rad, ze se vam zatim prepisuje pouze htaccess. Ted jste ve stavu, kdy nekdo z venku ma pristup k vasim datum, muze je modifikovat a delat si s nima co chce. Napriklad upravovat ceny na eshopech, menit cisla bankovnich uctu, atd. Takze rozhodne nedoporucuji tento problem neresit.

1. 12. 2022 10:20:23

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510201

TomasX

1. 12. 2022 11:35:40

Napsal wt_kaspy;1654787
Script urcite neni nejlepsi reseni, mozna nejrychlejsi, ale zaroven uplne nejhorsi. Neni to reseni priciny, ale dusledku, coz nikdy nemuze fungovat. Nehlede na vypadky fungovani webu mezi prepisem htacces od viru a od Vaseho programu.
Budte rad, ze se vam zatim prepisuje pouze htaccess. Ted jste ve stavu, kdy nekdo z venku ma pristup k vasim datum, muze je modifikovat a delat si s nima co chce. Napriklad upravovat ceny na eshopech, menit cisla bankovnich uctu, atd. Takze rozhodne nedoporucuji tento problem neresit.

doporučení na script jsem psal jako druhou možnost, když hosting odmítne asistovat a web izolovat. Následovat by mělo smazání a nahrání nového, nikdy si totiž nemůžeš být jistý, co vše útočník změnil a kam všude má přístup.

Napsal sikec;1654783
Takže prostě drbačka a drbačka...achjo...jak se to může vlastně dostat na hosting? Heslo mám napsaný offline na papírku...

Ano, je to dost práce, většinou se finančně a časově vyplatí na zabezpečení dbát více. Heslo na papírku nemusí znamenat, že ti neuniklo, nikdy nevíš, jestli ho nějaký SW nevysledoval, jestli jsi ho omylem nenapsal do jiného formuláře, jestli nění někde problém na cestě a neunikl jinou cestou. Pokud máš heslo původní, co ti došlo v emailu, mohlo uniknout z emailu, kdo ví, mohu jen střílet.

1. 12. 2022 11:35:40

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510200

1. 12. 2022 11:59:26

Jako kdyby šlo o jeden web, tak asi v pohodě, ale procházet 50 webů...no ale díky za rady

1. 12. 2022 11:59:26

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510199

5. 12. 2022 09:08:14

Tak jsem to prošel, antivirus našel nějaký trojský koně, promazal jsem to...a stejně furt přepisuje .htaccess. Samozřejmě jsem udělal nové FTP a ostatní smazal/zablokoval.

5. 12. 2022 09:08:14

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510198

wt_kaspy

5. 12. 2022 09:17:35

Pozadejte o pomoc podporu Wedosu, muze tam bezet neco, co jako bezny uzivatel, pouze s FTP pristupem nemate sanci odhalit a uz vubec ne ukoncit.

5. 12. 2022 09:17:35

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510197

5. 12. 2022 09:21:38

WEDOS mi řekl, že se odvirováním nezabývá...

5. 12. 2022 09:21:38

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510196

TomasX

5. 12. 2022 13:06:42

antivir z principu neumí dobře odhalovat viry ve zdrojových kódech.

Nejspíš si na to budeš muset někoho najmout, když na to sám nestačíš. Je těžké najít příčinu a zbavit se jí, aby se ti to zase za pár týdnů nevrátilo.

Nejspíš budeš mít nějaký cizí kód přímo ve wp, v pluginu, v databázi. Nenapsal jsi jakou verzi WP máš a ani jaké pluginy používáš

5. 12. 2022 13:06:42

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510195

Pavel Mareš

(19 hodnocení)

5. 12. 2022 16:52:34

Já to dělal u klienta ručně. Za pár hodin hotovo. Ale bylo to rozlezlý jak blázen.

5. 12. 2022 16:52:34

https://webtrh.cz/diskuse/odvirovani-wp-prepisovani-htaccess#reply1510194