Site sendo hackeado constantemente

[the_superman]

Tenho um site na minha host que constantemente está sendo hackeado. Fiz o básico em relação a segurança. Está em um servidor dedicado, o PHP está apenas com o básico para funcionar (restringi a maioria das funções que achei pertinente), com o Cloudflare e etc. Até o acesso SSH só é permitido através do meu range de endereços IP.

Está rodando WordPress. Sempre que eu abro o site começa a baixar um arquivo pro computador. O que eu posso fazer para corrigir isso ?

[NullRoute]

5 minutos atrás, the_superman disse:

Tenho um site na minha host que constantemente está sendo hackeado. Fiz o básico em relação a segurança. Está em um servidor dedicado, o PHP está apenas com o básico para funcionar (restringi a maioria das funções que achei pertinente), com o Cloudflare e etc. Até o acesso SSH só é permitido através do meu range de endereços IP.

Está rodando WordPress. Sempre que eu abro o site começa a baixar um arquivo pro computador. O que eu posso fazer para corrigir isso ?

Tem certeza que foi hackeado mesmo? Já vi situação dessa ( Sempre que eu abro o site começa a baixar um arquivo pro computador ) ser problema do Handler do PHP...eu já sofri no passado.

Mesmo assim, você tem algum WAF? Se não, recomendo o cpGuard https://www.opsshield.com/ você pode utilizar o trial deles por 15 dias e fazer uma inspeção bacana no servidor inteiro.

1.- Já analisou o core do wordpress para ver se não foram alterados?
2.- Já verificou se não está sendo através de SQL Injection aproveitando uma brecha do tema/plugin?

 

[the_superman]

Contratei um servidor na Vultr só para esse site. O mesmo está utilizando o CyberPanel, por isso não tenho como utilizar a ferramenta que me indicou. 

Em relação ao WordPress, utilizando a ferramenta "user role editor" coloquei permissões bem restritas para o próprio dono do site e a minha conta de administrador está com uma senha razoável, bem segura.

Porém não me atentei à atualização automática de plugins e temas. Vou tentar atualizar.

[NullRoute]

2 minutos atrás, the_superman disse:

Contratei um servidor na Vultr só para esse site. O mesmo está utilizando o CyberPanel, por isso não tenho como utilizar a ferramenta que me indicou. 

Em relação ao WordPress, utilizando a ferramenta "user role editor" coloquei permissões bem restritas para o próprio dono do site e a minha conta de administrador está com uma senha razoável, bem segura.

Porém não me atentei à atualização automática de plugins e temas. Vou tentar atualizar.

Existem também alguns comandos que você pode usar para checar os arquivos de forma mais automática como por exemplo abaixo: 

find . -type f -name '*.php' | xargs grep -l "eval *(str_rot13 *(base64_decode *(" --color

SE você tiver um backup atual e quiser eu posso subir em um linux server meu (laboratório) e rodar o Pyxsoft + cpGuard a fim de tentar coletar todos os arquivos maliciosos.

 

[rubensk]

Eu também sugiro um WAF, mas vale tentar primeiro o ModSecurity do qual há muita documentação na rede. 

 

 

[DELTA SERVERS]

Boa tarde!

Isso é alguma arquivo no seu .htaccess, lá terá a solução, salve uma copia e saia removendo campo aos poucos, até descobrir.

Em seguida aplique novamente a versão PHP.

https://deltafinanceiro.com.br/index.php?rp=/knowledgebase/9/Alterando-sua-versao-PHP-no-cPanel.html

[Divin0 Silva]

6 horas atrás, the_superman disse:

Tenho um site na minha host que constantemente está sendo hackeado. Fiz o básico em relação a segurança. Está em um servidor dedicado, o PHP está apenas com o básico para funcionar (restringi a maioria das funções que achei pertinente), com o Cloudflare e etc. Até o acesso SSH só é permitido através do meu range de endereços IP.

Está rodando WordPress. Sempre que eu abro o site começa a baixar um arquivo pro computador. O que eu posso fazer para corrigir isso ?

Bom como o DELTA SERVERS comentou verifica seu .htaccess, geralmente alguns Plugins faz alteração nesse arquivo, quando Plugins desativado ou ate mesmo excluído não limpa o .htaccess deixando alguns conflitos principalmente no Wordpress, só pra vc ter uma ideia que o plugin W3 Total Cache faz anexei uma demostração https://pastebin.com/4RpbLLuS

[the_superman]

Aqui está o link do site:
https://pastebin.com/raw/6WDh8gc9

 

Quanto ao arquivo do .htaccess, o mesmo não tem nada estranho =(

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

Substitui o tema e parece que tudo voltou ao normal. Vou instalar o tema novamente (última versão, tbm estava desatualizado) e tornar o wp-content/themes "imutável"  no Linux através do chattr 

[the_superman]

Por segurança adicionei a atualização automática para plugins WordPress.

Vocês tem mais alguma sugestão para manter este site seguro ? Favor levar em consideração que ele não tem o cPanel instalado e sim o Cyberpanel. 

[Mario Augusto]

3 horas atrás, the_superman disse:

Por segurança adicionei a atualização automática para plugins WordPress.

Vocês tem mais alguma sugestão para manter este site seguro ? Favor levar em consideração que ele não tem o cPanel instalado e sim o Cyberpanel. 

Se realmente não for problema no seu .htaccess ou algo relacionado diretamente à configuração de Apache, PHP, etc, instale um plugin chamado iThemes Security, na minha opinião, um dos melhores plugins de segurança para WordPress, eu já instalo como padrão quando alguém pede instalação, e nunca mais tivemos problemas com WP sendo hackeado, enviando SPAM, etc.