Jump to content

Site sendo hackeado constantemente


the_superman

Recommended Posts

Tenho um site na minha host que constantemente está sendo hackeado. Fiz o básico em relação a segurança. Está em um servidor dedicado, o PHP está apenas com o básico para funcionar (restringi a maioria das funções que achei pertinente), com o Cloudflare e etc. Até o acesso SSH só é permitido através do meu range de endereços IP.

Está rodando WordPress. Sempre que eu abro o site começa a baixar um arquivo pro computador. O que eu posso fazer para corrigir isso ?

Link to comment
Share on other sites

  • Administration
5 minutos atrás, the_superman disse:

Tenho um site na minha host que constantemente está sendo hackeado. Fiz o básico em relação a segurança. Está em um servidor dedicado, o PHP está apenas com o básico para funcionar (restringi a maioria das funções que achei pertinente), com o Cloudflare e etc. Até o acesso SSH só é permitido através do meu range de endereços IP.

Está rodando WordPress. Sempre que eu abro o site começa a baixar um arquivo pro computador. O que eu posso fazer para corrigir isso ?

Tem certeza que foi hackeado mesmo? Já vi situação dessa ( Sempre que eu abro o site começa a baixar um arquivo pro computador ) ser problema do Handler do PHP...eu já sofri no passado.

Mesmo assim, você tem algum WAF? Se não, recomendo o cpGuard https://www.opsshield.com/ você pode utilizar o trial deles por 15 dias e fazer uma inspeção bacana no servidor inteiro.

1.- Já analisou o core do wordpress para ver se não foram alterados?
2.- Já verificou se não está sendo através de SQL Injection aproveitando uma brecha do tema/plugin?

 

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link to comment
Share on other sites

Contratei um servidor na Vultr só para esse site. O mesmo está utilizando o CyberPanel, por isso não tenho como utilizar a ferramenta que me indicou. 

Em relação ao WordPress, utilizando a ferramenta "user role editor" coloquei permissões bem restritas para o próprio dono do site e a minha conta de administrador está com uma senha razoável, bem segura.

Porém não me atentei à atualização automática de plugins e temas. Vou tentar atualizar.

Link to comment
Share on other sites

  • Administration
2 minutos atrás, the_superman disse:

Contratei um servidor na Vultr só para esse site. O mesmo está utilizando o CyberPanel, por isso não tenho como utilizar a ferramenta que me indicou. 

Em relação ao WordPress, utilizando a ferramenta "user role editor" coloquei permissões bem restritas para o próprio dono do site e a minha conta de administrador está com uma senha razoável, bem segura.

Porém não me atentei à atualização automática de plugins e temas. Vou tentar atualizar.

Existem também alguns comandos que você pode usar para checar os arquivos de forma mais automática como por exemplo abaixo: 

find . -type f -name '*.php' | xargs grep -l "eval *(str_rot13 *(base64_decode *(" --color

SE você tiver um backup atual e quiser eu posso subir em um linux server meu (laboratório) e rodar o Pyxsoft + cpGuard a fim de tentar coletar todos os arquivos maliciosos.

 

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link to comment
Share on other sites

Boa tarde!

Isso é alguma arquivo no seu .htaccess, lá terá a solução, salve uma copia e saia removendo campo aos poucos, até descobrir.

Em seguida aplique novamente a versão PHP.

https://deltafinanceiro.com.br/index.php?rp=/knowledgebase/9/Alterando-sua-versao-PHP-no-cPanel.html

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link to comment
Share on other sites

6 horas atrás, the_superman disse:

Tenho um site na minha host que constantemente está sendo hackeado. Fiz o básico em relação a segurança. Está em um servidor dedicado, o PHP está apenas com o básico para funcionar (restringi a maioria das funções que achei pertinente), com o Cloudflare e etc. Até o acesso SSH só é permitido através do meu range de endereços IP.

Está rodando WordPress. Sempre que eu abro o site começa a baixar um arquivo pro computador. O que eu posso fazer para corrigir isso ?

Bom como o DELTA SERVERS comentou verifica seu .htaccess, geralmente alguns Plugins faz alteração nesse arquivo, quando Plugins desativado ou ate mesmo excluído não limpa o .htaccess deixando alguns conflitos principalmente no Wordpress, só pra vc ter uma ideia que o plugin W3 Total Cache faz anexei uma demostração https://pastebin.com/4RpbLLuS

Link to comment
Share on other sites

Aqui está o link do site:
https://pastebin.com/raw/6WDh8gc9

 

Quanto ao arquivo do .htaccess, o mesmo não tem nada estranho =(

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

Substitui o tema e parece que tudo voltou ao normal. Vou instalar o tema novamente (última versão, tbm estava desatualizado) e tornar o wp-content/themes "imutável"  no Linux através do chattr 

Link to comment
Share on other sites

3 horas atrás, the_superman disse:

Por segurança adicionei a atualização automática para plugins WordPress.

Vocês tem mais alguma sugestão para manter este site seguro ? Favor levar em consideração que ele não tem o cPanel instalado e sim o Cyberpanel. 

Se realmente não for problema no seu .htaccess ou algo relacionado diretamente à configuração de Apache, PHP, etc, instale um plugin chamado iThemes Security, na minha opinião, um dos melhores plugins de segurança para WordPress, eu já instalo como padrão quando alguém pede instalação, e nunca mais tivemos problemas com WP sendo hackeado, enviando SPAM, etc.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?