Sugestão De Manutenção Em Wp Invadido

[chuvadenovembro]

Pessoal,

Tem uma revenda no meu servidor que eu importei de um outro host, assim que importei foram localizados + de 30 malware em cada um dos sites

Praticamente todos os sites infectados, utiliza um tema chamado cadca e não sei se é uma falha do tema, do timthumb ou alguma outra coisa que foi modificada no antigo host que estes sites são constantemente infectados.

Sendo assim, sempre que recebo alguma aviso do servidor, como este abaixo por exemplo:

Time: Sat Aug 4 10:43:05 2012 -0300

File: /dev/shm/.svn

Reason: Suspicious directory

Owner: login:login (1525:1524)

Action: No action taken

Eu preciso dar uma olhada com atenção

Atualmente o dono da revenda não tem mais acesso porque já não esta entre nós, e quem assumiu não tem condições de fazer a devida manutenção nos sites.

Por conta disso, cada vez que o servidor me envia um alerta de ameaça destes sites em particular eu perco um pouco do meu tempo tentando manter eles online, mas confesso que tem sido uma tarefa dificil hehehe

Então decidi compartilhar com os colegas os procedimentos que eu tenho feito p/ remediar, já adianto FAÇA POR SUA CONTA E RISCO, eu faço isso porque minha unica opção seria suspender a conta (já que não tem ninguém fazendo a manutenção do wp)

O procedimento que vou explicar abaixo altera arquivos da hospedagem do cliente e e consiste inclusive em remoção de arquivos suspeitos, sendo assim, repito FAÇA POR SUA CONTA E RISCO!

Então vamos lá

1 - Acesse o cpanel do cliente com o login e senha dele (se não souber, simplesmente altere a senha no whm)

2 - Vá direto no phpmyadmin, clique no BD do WP e clique na tabela "users"

Aqui você vai ter a primeira surpresa, vários usuários criados:

Sendo assim, poderá remover estes usuários, clicando no checkbox de cada um deles e clicando no botão inferior remover

3 - Agora vou acessar o WP, mas não tenho a senha, no entanto o BD me mostra o login e o email cadastrado, vou alterar o email para poder acionar a opção para redefinir senha.

4 - Após redefinir a senha, poderá acessar o wp e fazer as atualizações do gerenciador, plugins e temas.

5 - Eu gosto de instalar o plugin "WP Security Scan", pois com ele você pode verificar os itens que podem comprometer o wp, recomendo ajustar as permissões do .htacess, alterar o prefixo da tabela do wp (caso estiver com a padrão), e ajustar o login do admin (poderá fazer isso pelo phpmyadmin)

6 - Crie uma senha para acessar a pasta wp-admin (Opção diretorio protegido por senha no cpanel)

7 - Remova os arquivos readme.html e license.txt da raiz do wp

8 - No meu caso, o tema tinha alguns arquivos criptografados, as vezes nem é nada perigoso, o autor do tema fez isso p/ preservar os creditos, poderá utilizar este site p/ descritografar o codigo:

http://www.base64decode.org/

9 - Substitua o timthumb do tema (caso tiver a versão antiga dele) e faça a seguinte edição:

Localize essa linha:

$allowedSites = array(

'flickr.com',

'picasa.com',

'img.youtube.com',

);

E substitua por isso:

$allowedSites = array();

10 - Após fazer todo o prcedimento acima, faça uma verificação neste site:

http://sitecheck.sucuri.net/scanner/

No meu caso, o resultado foi:

Garimpei no google e substitui o arquivo por um que tem neste site:

http://www.no-margin-for-errors.com/projects/prettyphoto-jquery-lightbox-clone/

Refiz a varredura e o resultado agora foi este:

Bom, como não sou o adm do site, fiz isso apenas por causa das circunstancias que foge um pouco da normalidade.

Tenho certeza que existem outras alternativas, umas mais simples, acho que outras mais complexas, seria legal se os demais colegas postasse sugestões / dicas e até alternativas do procedimento que fiz acima.

:)

[Jaime Silva]

Já notei que

1- esses sites de templates gratis vem com um monte de falcatruas

2- o WP e Joomla são cheios de falhas de segurança

3- há o risco do DC lhe bloquear por conta de seus clientes

Tudo meio óbvio, claro.

[zanin]

Já notei que

1- esses sites de templates gratis vem com um monte de falcatruas

2- o WP e Joomla são cheios de falhas de segurança

3- há o risco do DC lhe bloquear por conta de seus clientes

Tudo meio óbvio, claro.

Ai meu Deus! Fechou minha tarde! kkkkkkkkkkkkkkkkkkkkkkkkk