Ajutor site hack-uit
#1
Posted 11 April 2019 - 21:46
Scuze daca nu am postat unde trebuie, dar intampin o problema si nu am idee ce sa-i fac. Detin un site pe platforma wordpress, acest script nu imi este familiar si nu detin multe cunostiinte despre el.
Am impresia ca mi-a fost compromis site-ul deoarece nu mai am acces la pagina de logare si imi apar niste redirectionari ciudate la un moment dat pe site spre site-uri dubioase. Site-ul este gazduit pe godaddy (achizitionat la pachet domeniu + gazduire), dar din pacate suportul este ca si inexistent la ei. Urma sa migrez la o alta firma de hosting din Romania, dar as prefera sa o fac dupa ce rezolv problema. Site-ul este farmer-mods.com Singurul loc pe care il pot accesa este cel din Cpanel provenit de la Godaddy, dar nu am nici o idee ce fisiere trebuie sa caut si sa modific. Orice ajutor este binevenit. Attached FilesEdited by Adm, 11 April 2019 - 21:57. |
#2
Posted 11 April 2019 - 22:08
Cred ca ai vrut tu sa activezi https (ssl) si nu a functionat chiar ok, dar in rest nu pare compromis.
Poti sa migrezi chiar si in stadiul acesta: faci un backup din cpanel, importi la noul host, apoi schimbi rezolutia in dns si gata. PS: godaddy mi se pare cam cel mai jegos provider! Edited by MembruAnonim, 11 April 2019 - 22:26. |
#3
Posted 11 April 2019 - 22:12
ba da e infectat cu ceva pt ca ii redirectioneaza pagini spre situri cu malware..
nu prea ai ce sa modifici tu daca zici ca nu detii cunostinte in domeniu.. deci cauta pe cineva care stie. buba e ori in tema, ori in vreun plugin. wp e plin de pluginuri cu probleme de securitate |
#4
Posted 11 April 2019 - 22:15
Nu e infectat, e doar o problema cu activarea ssl-ului cum am scris mai sus, nu mai speriati oamenii aiurea!
Vad ca site-ul vine cu un certificat semnat catre secureserver.net, care e un domeniu care apartine de godday. Edited by MembruAnonim, 11 April 2019 - 22:19. |
#5
Posted 11 April 2019 - 22:37
addelin, on 11 aprilie 2019 - 22:15, said:
Nu e infectat addelin, on 11 aprilie 2019 - 22:08, said:
dar in rest nu pare compromis. maryotm, on 11 aprilie 2019 - 21:46, said:
Am impresia ca mi-a fost compromis site-ul deoarece nu mai am acces la pagina de logare si imi apar niste redirectionari ciudate la un moment dat pe site spre site-uri dubioase. posteaza continutul fisierului .htaccess e posibil ca si folderul wp-admin sa nu mai existe, daca poti confirma si asta Edited by unbrutus, 11 April 2019 - 22:38. |
#6
Posted 12 April 2019 - 00:11
farmer-mods.com/comments/feed/
Quote <atom:link href="http:// hellofromhony.com/comments/feed/" rel="self" type="application/rss+xml" /> <link>https:// hellofromhony.com/goaway?temp=5&</link> E posibil sa iti fi modificat chiar si baza de date... ai un backup? Astia de la GoDaddy ofera asa ceva? Ai ceva plugin cu o bresa si prin aia au intrat si si-au facut de cap... cam asta e banuiala mea. Edited by tigerheart, 12 April 2019 - 00:14. |
#7
Posted 12 April 2019 - 07:22
Iar daca e așa cum zic ei - malware injectat și cu redirect random - promiti sa nu te mai atingi vreodată de PC/telefon + Internet pentru că habar nu ai ce și cum?
|
#8
Posted 12 April 2019 - 08:35
ti-a injectat ceva scripturi in surse. acum sursa poate fi de la core-ul wp neupdatat si/sau pluginuri gaurite si neupdatate.
saaaau, de la tine. ai un mallware care iti extrage datele de conectare din clientul FTP. (cand faceam chestii din astea acum 12 ani, ce-mi mai bateam lula de fraieri)... oricum, daca esti boschete si nu te descurci cauta pe cineva sa te ajute. am vazut si pluginuri care compara fisierele, iti face restore la cele afectate, dar trebuie sa umpli ca cauza, nu efect. s-ar putea sa fii norocos, de obicei astfel de hackuri nu iti afecteaza baza de date. |
#9
Posted 12 April 2019 - 17:08
unbrutus, on 11 aprilie 2019 - 22:37, said:
e infectat, pagina de admin e de negasit pagina de admin? a fost compromis clar posteaza continutul fisierului .htaccess e posibil ca si folderul wp-admin sa nu mai existe, daca poti confirma si asta Datele din .htaccess: # BEGIN WP Rocket v3.2.3 # Use UTF-8 encoding for anything served text/plain or text/html AddDefaultCharset UTF-8 # Force UTF-8 for a number of file formats <IfModule mod_mime.c> AddCharset UTF-8 .atom .css .js .json .rss .vtt .xml </IfModule> # FileETag None is not enough for every server. <IfModule mod_headers.c> Header unset ETag </IfModule> # Since we’re sending far-future expires, we don’t need ETags for static content. # developer.yahoo.com/performance/rules.html#etags FileETag None <IfModule mod_alias.c> <FilesMatch "\.(html|htm|rtf|rtx|txt|xsd|xsl|xml)$"> <IfModule mod_headers.c> Header set X-Powered-By "WP Rocket/3.2.3" Header unset Pragma Header append Cache-Control "public" Header unset Last-Modified </IfModule> </FilesMatch> <FilesMatch "\.(css|htc|js|asf|asx|wax|wmv|wmx|avi|bmp|class|divx|doc|docx|eot|exe|gif|gz|gzip|ico|jpg|jpeg|jpe|json|mdb|mid|midi|mov|qt|mp3|m4a|mp4|m4v|mpeg|mpg|mpe|mpp|otf|odb|odc|odf|odg|odp|ods|odt|ogg|pdf|png|pot|pps|ppt|pptx|ra|ram|svg|svgz|swf|tar|tif|tiff|ttf|ttc|wav|wma|wri|xla|xls|xlsx|xlt|xlw|zip)$"> <IfModule mod_headers.c> Header unset Pragma Header append Cache-Control "public" </IfModule> </FilesMatch> </IfModule> # Expires headers (for better cache control) <IfModule mod_expires.c> ExpiresActive on # Perhaps better to whitelist expires rules? Perhaps. ExpiresDefault "access plus 1 month" # cache.appcache needs re-requests in FF 3.6 (thanks Remy ~Introducing HTML5) ExpiresByType text/cache-manifest "access plus 0 seconds" # Your document html ExpiresByType text/html "access plus 0 seconds" # Data ExpiresByType text/xml "access plus 0 seconds" ExpiresByType application/xml "access plus 0 seconds" ExpiresByType application/json "access plus 0 seconds" # Feed ExpiresByType application/rss+xml "access plus 1 hour" ExpiresByType application/atom+xml "access plus 1 hour" # Favicon (cannot be renamed) ExpiresByType image/x-icon "access plus 1 week" # Media: images, video, audio ExpiresByType image/gif "access plus 4 months" ExpiresByType image/png "access plus 4 months" ExpiresByType image/jpeg "access plus 4 months" ExpiresByType image/webp "access plus 4 months" ExpiresByType video/ogg "access plus 1 month" ExpiresByType audio/ogg "access plus 1 month" ExpiresByType video/mp4 "access plus 1 month" ExpiresByType video/webm "access plus 1 month" # HTC files (css3pie) ExpiresByType text/x-component "access plus 1 month" # Webfonts ExpiresByType application/x-font-ttf "access plus 1 month" ExpiresByType font/opentype "access plus 1 month" ExpiresByType application/x-font-woff "access plus 1 month" ExpiresByType application/x-font-woff2 "access plus 1 month" ExpiresByType image/svg+xml "access plus 1 month" ExpiresByType application/vnd.ms-fontobject "access plus 1 month" # CSS and Javascript ExpiresByType text/css "access plus 1 year" ExpiresByType application/javascript "access plus 1 year" </IfModule> # Gzip compression <IfModule mod_deflate.c> # Active compression SetOutputFilter DEFLATE # Force deflate for mangled headers <IfModule mod_setenvif.c> <IfModule mod_headers.c> SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding # Don’t compress images and other uncompressible content SetEnvIfNoCase Request_URI \ \.(?:gif|jpe?g|png|rar|zip|exe|flv|mov|wma|mp3|avi|swf|mp?g|mp4|webm|webp|pdf)$ no-gzip dont-vary </IfModule> </IfModule> # Compress all output labeled with one of the following MIME-types <IfModule mod_filter.c> AddOutputFilterByType DEFLATE application/atom+xml \ application/javascript \ application/json \ application/rss+xml \ application/vnd.ms-fontobject \ application/x-font-ttf \ application/xhtml+xml \ application/xml \ font/opentype \ image/svg+xml \ image/x-icon \ text/css \ text/html \ text/plain \ text/x-component \ text/xml </IfModule> <IfModule mod_headers.c> Header append Vary: Accept-Encoding </IfModule> </IfModule> <IfModule mod_mime.c> AddType text/html .html_gzip AddEncoding gzip .html_gzip </IfModule> <IfModule mod_setenvif.c> SetEnvIfNoCase Request_URI \.html_gzip$ no-gzip </IfModule> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{HTTPS} on [OR] RewriteCond %{SERVER_PORT} ^443$ [OR] RewriteCond %{HTTP:X-Forwarded-Proto} https RewriteRule .* - [E=WPR_SSL:-https] RewriteCond %{HTTP:Accept-Encoding} gzip RewriteRule .* - [E=WPR_ENC:_gzip] RewriteCond %{REQUEST_METHOD} GET RewriteCond %{QUERY_STRING} ="" RewriteCond %{HTTP:Cookie} !(wordpress_logged_in_|wp-postpass_|wptouch_switch_toggle|comment_author_|comment_author_email_) [NC] RewriteCond %{REQUEST_URI} !^(/(.+/)?feed/?|/(index\.php/)?wp\-json(/.*|$))$ [NC] RewriteCond %{HTTP_USER_AGENT} !^(facebookexternalhit).* [NC] RewriteCond "%{DOCUMENT_ROOT}/wp-content/cache/wp-rocket/%{HTTP_HOST}%{REQUEST_URI}/index%{ENV:WPR_SSL}.html%{ENV:WPR_ENC}" -f RewriteRule .* "/wp-content/cache/wp-rocket/%{HTTP_HOST}%{REQUEST_URI}/index%{ENV:WPR_SSL}.html%{ENV:WPR_ENC}" [L] </IfModule> # END WP Rocket <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress Exista si folderul wp-admin tigerheart, on 12 aprilie 2019 - 00:11, said:
farmer-mods.com/comments/feed/ E posibil sa iti fi modificat chiar si baza de date... ai un backup? Astia de la GoDaddy ofera asa ceva? Ai ceva plugin cu o bresa si prin aia au intrat si si-au facut de cap... cam asta e banuiala mea. marianwz, on 12 aprilie 2019 - 06:20, said:
Activează un Certificat SSL și vezi dacă mai ai problema asta, unii vorbesc prea multe bălării pe aici ) te pot ajuta eu, numai ca să le arăt că nu e așa cum vorbesc ei. business-grow.ro |
#10
Posted 12 April 2019 - 17:32
https://uk.godaddy.c...l-hosting-12027
https://uk.godaddy.c...g-account-28023 fa asta si o sa-ti mearga, nu mai asculta prostiile astora, mai au putin sa-ti zica ca ai si cancer de cand cu malware-ul de pe site Edited by marianwz, 12 April 2019 - 17:33. |
|
#11
Posted 12 April 2019 - 18:01
maryotm, on 12 aprilie 2019 - 17:08, said:
Datele din .htaccess: Ok. Raportul e cam asa: https://sitecheck.su....com/asdax.html Si, se pare, poti incerca intr-un browser orice adresa de genul "farmer-mods.com/[[[sir random, de genul aaaaabbbbcccdddd]]].html" ca dai peste redirectul respectiv. Pentru inceput, cauta in toate fisierele pe care le ai pe host sirul "hellofromhony.com" si vezi de-l gasesti. Later Edit: https://www.wordfenc...ed-in-the-wild/ Quote
Site owners running the Yellow Pencil Visual Theme Customizer plugin are urged to remove it from their sites immediately. Sau fa un update: https://yellowpencil...ecurity-update/ Astept iexpertul Marean sa ne explice cum habar nu avem ce vorbim. Dupa care, sa-si bage tot webdesignul si webprogrammingul in Disk Operating System, pentru ca mananca rahat cu galeata. Edited by dexterash, 12 April 2019 - 18:10. |
#12
Posted 12 April 2019 - 20:01
dexterash, on 12 aprilie 2019 - 18:01, said:
In mod normal nu fac din astea pro-bono. Tura asta am sa incerc sa te ajut doar ca sa-i demonstrez unui "expert in webdesign, webdevelopment & co" cat de idiot e. Idiot pe care il invit sa-si bage PCul, SmartPhoneul si mufa de Internet undeva... Ok. Raportul e cam asa: https://sitecheck.su....com/asdax.html Si, se pare, poti incerca intr-un browser orice adresa de genul "farmer-mods.com/[[[sir random, de genul aaaaabbbbcccdddd]]].html" ca dai peste redirectul respectiv. Pentru inceput, cauta in toate fisierele pe care le ai pe host sirul "hellofromhony.com" si vezi de-l gasesti. Later Edit: https://www.wordfenc...ed-in-the-wild/ Sau fa un update: https://yellowpencil...ecurity-update/ Astept iexpertul Marean sa ne explice cum habar nu avem ce vorbim. Dupa care, sa-si bage tot webdesignul si webprogrammingul in Disk Operating System, pentru ca mananca rahat cu galeata. Am reusit sa gasesc fisierul ,,hellofromhony.com", era instalat in pluginul ,,WP-Rocket" si am facut update la Yellowpencil. Am sters pluginul respectiv WP-Rocket, dar problema inca persista din cate vad. Am luat la puricat cam toate folderele din ,,public_html", dar avand in vedere ca nu sunt familiar cu wordpress imi este greu sa imi dau seama ce fisier este ,,strain". |
#13
Posted 12 April 2019 - 20:29
1. Nu ai inteles ce ai de facut - am zis sa cauti in fisiere, nu fisierul. Ai sters doar un cache.
2. Nu ai citit ce ti-am lasat de la yellow pencil - ma refer la continutul linkului (normal, esti roman mandru, cum sa citesti si sa nu ti se dea mura'n gura tot?) - motiv pentru care nu te voi ajuta mai departe 3. Nu stiu cat tii la acel site, dar iti recomand sa apelezi la cineva care chiar stie ce face daca vrei sa il salvezi, nu ca ***ultramegazbengaexpertul*** de mai sus. |
#14
Posted 13 April 2019 - 00:15
marianwz, on 12 aprilie 2019 - 17:32, said:
https://uk.godaddy.c...l-hosting-12027 https://uk.godaddy.c...g-account-28023 fa asta si o sa-ti mearga, nu mai asculta prostiile astora, mai au putin sa-ti zica ca ai si cancer de cand cu malware-ul de pe site "parerea mea este ca... dar sigur ca e posibil sa ma insel" Si iata ca sigur te-ai inselat maryotm, on 12 aprilie 2019 - 20:01, said:
Am reusit sa gasesc fisierul ,,hellofromhony.com", era instalat in pluginul ,,WP-Rocket" si am facut update la Yellowpencil. Am sters pluginul respectiv WP-Rocket, dar problema inca persista din cate vad. Am luat la puricat cam toate folderele din ,,public_html", dar avand in vedere ca nu sunt familiar cu wordpress imi este greu sa imi dau seama ce fisier este ,,strain". Acum restaureaza si .htaccess-ul ala la cel original, downloadeaza kitul de wordpress si copiaza .htaccess de acolo, are doar 4-5 randuri cum sa faci update la yellowpencil daca zice clar sa il stergi imediat, tot asa, folderul cu totul, iar pe pagina oficiala a pluginului zice ca a fost inchis pe 8 aprilie? sterge-le cat mai rapid, fa ce ti-am zis cu .htaccess si cauta in toate fisierele sirul care ti l-a zis colegul maryotm, on 12 aprilie 2019 - 17:08, said:
Din pacate am mai multe plugin-uri instalate, dar nu imi mai amintesc care sunt exact. |
#15
Posted 13 April 2019 - 01:07
@unbrutus, iti recomand sa stai nitel pe dreapta pentru ca nici tu nu ai inteles ce si cum. Si n'am nici cel mai mic chef sa demonstrez ca exista mai mult decat un "nestiutor" (ca sa nu zic altfel) p'aci.
|
|
#16
Posted 13 April 2019 - 01:15
dexterash, on 13 aprilie 2019 - 01:07, said:
@unbrutus, iti recomand sa stai nitel pe dreapta pentru ca nici tu nu ai inteles ce si cum. dexterash, on 13 aprilie 2019 - 01:07, said:
Si n'am nici cel mai mic chef sa demonstrez ca exista mai mult decat un "nestiutor" (ca sa nu zic altfel) p'aci. omul avea nevoie de o demonstratie ca site-ul e hackuit, lucru care i l-am spus de la inceput si lui si tuturor celorlalti care au zis ca nu e ce vrei tu deci sa imi demonstrezi mie... vezi ca sari calu rau de tot. Nu e prima oara cand ti-am aratat ca habar nu ai de niste chestii pe care le prezinti ca adevaruri absolute |
#17
Posted 13 April 2019 - 01:43
N'am vazut nici un voinic (in afara de @tigerheart care a mirosit foarte bine ce a mirosit) care sa demonstreze sau sa explice ce si cum. Nulitati si platitudini sunt toti in stare sa emita, pentru ca au impresia ca au IQul format din 3 cifre si o experienta de 100+ ani.
N'am nici un chef sa continui chestia asta. Cine are de priceput ce si cum (daca mai sunt prin zona de din astia), va pricepe. Restul - Dumnezo' cu mila, ca e plin online de experti in mancat diverse. Pofta buna, cum s-ar zice pe la altii... |
#18
Posted 13 April 2019 - 09:49
Am renuntat la el si l-am redirectionat catre alt domeniu. Am sters toate plugin-urile, am reinstalat o copie noua a temei, o copie noua a scriptului de la wordpress si nu s-a intamplat nimic.
Era un site pentru un test mai mult sa vad diferentele de optimizare intre wordpress si o platforma ruseasca. Multumesc tuturor pentru ajutor si scuze pentru deranj si polemicile care s-au creat. Nu asta a fost intentia. O zi buna tuturor! |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users