Permalänk

Wordpress hackad hos Loopia?

En webb jag har har blivit hackad och det verkar inte gå få bukt med problemet.

Igår då jag tömt hela webbplatsen för att lägga upp allt på nytt. Jag hade bra med aktuella backups.
Men attackerna eller vad de nu var fortsatte även med en tom FTP. "public_html" bytte hela tiden namn till "public_html.bak" och skapade jag en ny "public_html" så flyttades den in i "public_html.bak".

Loopia gjorde då en ominstallation av vår webb-instans.

Efter det gjorde vi:
1. Ren installation av Wordpress
2. Lagt upp de plugin jag skrivit.
3. Laddat ner övriga plugins från Wordpress respo
4. Laddat upp de media (bilder) som förr låg på webben under > wp-content/uploads

Efter det så antog vi att allt skulle vara bra då nu endast låg filer som vi kände till på webben.

Ett tema jag använt hos otaliga andra kunder och plugins som jag antingen skrivit själva eller som är nedladdade inifrån Wordpress från deras repo. Vilket väl brukar borga för bra säkerhet? Dessa plugins används dessutom på flertalet andra webbsiter jag gjort utan några problem.

Nu i morse var delar av databasen raderad så det inte gick logga in längre. Reklam html-filer för viagra mm låg i kundens kundens FTP under "public_html" samt att flera filer var borttagna eller modifierade på kundens webb.

Så nu har jag igen, tömt allt och återställt de backups vi har. Bytt alla användares lösenord samt bytt lösenord till FTP och MySQL.

Vad mer bör jag göra? Har ni råkat ut för detta? Hur löser man problemet?

§3.1
Permalänk

Uppdatera MySQL till senaste, och alla andra tänkbara uppdateringar som finns tillgängliga för WordPress om detta inte är gjort.

Sätt säkrare lösenord än vad du kört med tidigare till MySQLen.

Finns möjligheten att byta IP hos hostingsiten?

Sätt ett script på att uppdatera hela sidan via FTP med senaste versionen från en säker plats en gång i timman om problemet fortsätter.

// Aura

Permalänk

Råkade kanske läsa fel, om det är en FTP som står i ett nät hos kund, kan kund byta IP hos sin leverantör?

Lycka till

Permalänk
Medlem
Skrivet av Aurastream:

Uppdatera MySQL till senaste, och alla andra tänkbara uppdateringar som finns tillgängliga för WordPress om detta inte är gjort.

Sätt säkrare lösenord än vad du kört med tidigare till MySQLen.

Finns möjligheten att byta IP hos hostingsiten?

Sätt ett script på att uppdatera hela sidan via FTP med senaste versionen från en säker plats en gång i timman om problemet fortsätter.

// Aura

mysql är inte problemet. användaren som hackar dig har tillgång till ftpn på något vis, han hittar inlogget till mysql genom databas connectionfilerna på ftpn.

eller så kan han avbryta koden eller injecta kod på något vis som gör att lösenord visas

Visa signatur

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Permalänk
Legendarisk
Skrivet av -=*ThE_cRoW*=-:

Nu i morse var delar av databasen raderad så det inte gick logga in längre. Reklam html-filer för viagra mm låg i kundens kundens FTP under "public_html" samt att flera filer var borttagna eller modifierade på kundens webb.

Så nu har jag igen, tömt allt och återställt de backups vi har. Bytt alla användares lösenord samt bytt lösenord till FTP och MySQL.

Vad mer bör jag göra? Har ni råkat ut för detta? Hur löser man problemet?

Om du fortfarande har kvar requestloggen och tidpunkten för när de nya filerna skapades så kan du försöka titta på vad som hände däromkring.

Visa signatur

Abstractions all the way down.

Permalänk
Skrivet av Aurastream:

Råkade kanske läsa fel, om det är en FTP som står i ett nät hos kund, kan kund byta IP hos sin leverantör?

Lycka till

Skrivet av Christley:

mysql är inte problemet. användaren som hackar dig har tillgång till ftpn på något vis, han hittar inlogget till mysql genom databas connectionfilerna på ftpn.

eller så kan han avbryta koden eller injecta kod på något vis som gör att lösenord visas

Tack för era svar.

Har vid varje attack bytt lösenord för FTP, MySQL, WP-användare och WP-salt/key's.

Känns inte troligt att de klurade ut den nya FTP användarens samt lösenordet till den under 24 timmar senare så lutar åt att det är något äckligt i vår Wordpress.

Har kör in "Sucuri Security (Malware Scan)" på wordpressen och scanat den. Den hittade inga konstigheter efter min senaste rensning. Dock så täppte den till en del säkerhetshål påstår den.

Får se hur detta går. Har någon nån erfarenhet av plugins som detta? Hoppas iaf kunna fånga något i loggen om det händer igen.

Permalänk
Skrivet av Tunnelsork:

Om du fortfarande har kvar requestloggen och tidpunkten för när de nya filerna skapades så kan du försöka titta på vad som hände däromkring.

Nä, kunde inte få dem genom Loopia. (Och deras FTP-loggar är väldigt begränsade.)

Permalänk
Medlem
Skrivet av -=*ThE_cRoW*=-:

Tack för era svar.

Har vid varje attack bytt lösenord för FTP, MySQL, WP-användare och WP-salt/key's.

Känns inte troligt att de klurade ut den nya FTP användarens samt lösenordet till den under 24 timmar senare så lutar åt att det är något äckligt i vår Wordpress.

Har kör in "Sucuri Security (Malware Scan)" på wordpressen och scanat den. Den hittade inga konstigheter efter min senaste rensning. Dock så täppte den till en del säkerhetshål påstår den.

Får se hur detta går. Har någon nån erfarenhet av plugins som detta? Hoppas iaf kunna fånga något i loggen om det händer igen.

om det fortsätter hade jag gjort det på uteslutande vis, och ta bort ett efter ett annat plugin enda tills attacken slutar. och då vet du varför det händer. men det är om loggarna inte hittar det

Visa signatur

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!