Ajutor site hack-uit

Scuze daca nu am postat unde trebuie, dar intampin o problema si nu am idee ce sa-i fac. Detin un site pe platforma wordpress, acest script nu imi este familiar si nu detin multe cunostiinte despre el.

Am impresia ca mi-a fost compromis site-ul deoarece nu mai am acces la pagina de logare si imi apar niste redirectionari ciudate la un moment dat pe site spre site-uri dubioase.

Site-ul este gazduit pe godaddy (achizitionat la pachet domeniu + gazduire), dar din pacate suportul este ca si inexistent la ei. Urma sa migrez la o alta firma de hosting din Romania, dar as prefera sa o fac dupa ce rezolv problema.

Site-ul este farmer-mods.com

Singurul loc pe care il pot accesa este cel din Cpanel provenit de la Godaddy, dar nu am nici o idee ce fisiere trebuie sa caut si sa modific.

Orice ajutor este binevenit.

Edited by Adm, 11 April 2019 - 21:57.

Cred ca ai vrut tu sa activezi https (ssl) si nu a functionat chiar ok, dar in rest nu pare compromis.

Poti sa migrezi chiar si in stadiul acesta: faci un backup din cpanel, importi la noul host, apoi schimbi rezolutia in dns si gata.


PS: godaddy mi se pare cam cel mai jegos provider!

Edited by MembruAnonim, 11 April 2019 - 22:26.

ba da e infectat cu ceva pt ca ii redirectioneaza pagini spre situri cu malware..

nu prea ai ce sa modifici tu daca zici ca nu detii cunostinte in domeniu.. deci cauta pe cineva care stie.
buba e ori in tema, ori in vreun plugin. wp e plin de pluginuri cu probleme de securitate

Nu e infectat, e doar o problema cu activarea ssl-ului cum am scris mai sus, nu mai speriati oamenii aiurea!

Vad ca site-ul vine cu un certificat semnat catre secureserver.net, care e un domeniu care apartine de godday.

Edited by MembruAnonim, 11 April 2019 - 22:19.

 addelin, on 11 aprilie 2019 - 22:15, said:

e infectat, pagina de admin e de negasit

 addelin, on 11 aprilie 2019 - 22:08, said:

pagina de admin?

 maryotm, on 11 aprilie 2019 - 21:46, said:

a fost compromis clar

posteaza continutul fisierului .htaccess

e posibil ca si folderul wp-admin sa nu mai existe, daca poti confirma si asta

Edited by unbrutus, 11 April 2019 - 22:38.

farmer-mods.com/comments/feed/

Quote

E posibil sa iti fi modificat chiar si baza de date... ai un backup? Astia de la GoDaddy ofera asa ceva?
Ai ceva plugin cu o bresa si prin aia au intrat si si-au facut de cap... cam asta e banuiala mea.

Edited by tigerheart, 12 April 2019 - 00:14.

Iar daca e așa cum zic ei - malware injectat și cu redirect random - promiti sa nu te mai atingi vreodată de PC/telefon + Internet pentru că habar nu ai ce și cum?

ti-a injectat ceva scripturi in surse. acum sursa poate fi de la core-ul wp neupdatat si/sau pluginuri gaurite si neupdatate.
saaaau, de la tine. ai un mallware care iti extrage datele de conectare din clientul FTP. (cand faceam chestii din astea acum 12 ani, ce-mi mai bateam lula de fraieri)...

oricum, daca esti boschete si nu te descurci cauta pe cineva sa te ajute. am vazut si pluginuri care compara fisierele, iti face restore la cele afectate, dar trebuie sa umpli ca cauza, nu efect. s-ar putea sa fii norocos, de obicei astfel de hackuri nu iti afecteaza baza de date.

 unbrutus, on 11 aprilie 2019 - 22:37, said:

Datele din .htaccess:

# BEGIN WP Rocket v3.2.3
# Use UTF-8 encoding for anything served text/plain or text/html
AddDefaultCharset UTF-8
# Force UTF-8 for a number of file formats
<IfModule mod_mime.c>
AddCharset UTF-8 .atom .css .js .json .rss .vtt .xml
</IfModule>
# FileETag None is not enough for every server.
<IfModule mod_headers.c>
Header unset ETag
</IfModule>
# Since we’re sending far-future expires, we don’t need ETags for static content.
# developer.yahoo.com/performance/rules.html#etags
FileETag None
<IfModule mod_alias.c>
<FilesMatch "\.(html|htm|rtf|rtx|txt|xsd|xsl|xml)$">
<IfModule mod_headers.c>
Header set X-Powered-By "WP Rocket/3.2.3"
Header unset Pragma
Header append Cache-Control "public"
Header unset Last-Modified
</IfModule>
</FilesMatch>
<FilesMatch "\.(css|htc|js|asf|asx|wax|wmv|wmx|avi|bmp|class|divx|doc|docx|eot|exe|gif|gz|gzip|ico|jpg|jpeg|jpe|json|mdb|mid|midi|mov|qt|mp3|m4a|mp4|m4v|mpeg|mpg|mpe|mpp|otf|odb|odc|odf|odg|odp|ods|odt|ogg|pdf|png|pot|pps|ppt|pptx|ra|ram|svg|svgz|swf|tar|tif|tiff|ttf|ttc|wav|wma|wri|xla|xls|xlsx|xlt|xlw|zip)$">
<IfModule mod_headers.c>
Header unset Pragma
Header append Cache-Control "public"
</IfModule>
</FilesMatch>
</IfModule>
# Expires headers (for better cache control)
<IfModule mod_expires.c>
ExpiresActive on
# Perhaps better to whitelist expires rules? Perhaps.
ExpiresDefault							  "access plus 1 month"
# cache.appcache needs re-requests in FF 3.6 (thanks Remy ~Introducing HTML5)
ExpiresByType text/cache-manifest		   "access plus 0 seconds"
# Your document html
ExpiresByType text/html					 "access plus 0 seconds"
# Data
ExpiresByType text/xml					  "access plus 0 seconds"
ExpiresByType application/xml			   "access plus 0 seconds"
ExpiresByType application/json			  "access plus 0 seconds"
# Feed
ExpiresByType application/rss+xml		   "access plus 1 hour"
ExpiresByType application/atom+xml		  "access plus 1 hour"
# Favicon (cannot be renamed)
ExpiresByType image/x-icon				  "access plus 1 week"
# Media: images, video, audio
ExpiresByType image/gif					 "access plus 4 months"
ExpiresByType image/png					 "access plus 4 months"
ExpiresByType image/jpeg					"access plus 4 months"
ExpiresByType image/webp					"access plus 4 months"
ExpiresByType video/ogg					 "access plus 1 month"
ExpiresByType audio/ogg					 "access plus 1 month"
ExpiresByType video/mp4					 "access plus 1 month"
ExpiresByType video/webm					"access plus 1 month"
# HTC files  (css3pie)
ExpiresByType text/x-component			  "access plus 1 month"
# Webfonts
ExpiresByType application/x-font-ttf		"access plus 1 month"
ExpiresByType font/opentype				 "access plus 1 month"
ExpiresByType application/x-font-woff	   "access plus 1 month"
ExpiresByType application/x-font-woff2	  "access plus 1 month"
ExpiresByType image/svg+xml				 "access plus 1 month"
ExpiresByType application/vnd.ms-fontobject "access plus 1 month"
# CSS and Javascript
ExpiresByType text/css					  "access plus 1 year"
ExpiresByType application/javascript		"access plus 1 year"
</IfModule>
# Gzip compression
<IfModule mod_deflate.c>
# Active compression
SetOutputFilter DEFLATE
# Force deflate for mangled headers
<IfModule mod_setenvif.c>
<IfModule mod_headers.c>
SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding
RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding
# Don’t compress images and other uncompressible content
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png|rar|zip|exe|flv|mov|wma|mp3|avi|swf|mp?g|mp4|webm|webp|pdf)$ no-gzip dont-vary
</IfModule>
</IfModule>
# Compress all output labeled with one of the following MIME-types
<IfModule mod_filter.c>
AddOutputFilterByType DEFLATE application/atom+xml \
							application/javascript \
							application/json \
							application/rss+xml \
							application/vnd.ms-fontobject \
							application/x-font-ttf \
							application/xhtml+xml \
							application/xml \
							font/opentype \
							image/svg+xml \
							image/x-icon \
							text/css \
							text/html \
							text/plain \
							text/x-component \
							text/xml
</IfModule>
<IfModule mod_headers.c>
Header append Vary: Accept-Encoding
</IfModule>
</IfModule>
<IfModule mod_mime.c>
AddType text/html .html_gzip
AddEncoding gzip .html_gzip
</IfModule>
<IfModule mod_setenvif.c>
SetEnvIfNoCase Request_URI \.html_gzip$ no-gzip
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} on [OR]
RewriteCond %{SERVER_PORT} ^443$ [OR]
RewriteCond %{HTTP:X-Forwarded-Proto} https
RewriteRule .* - [E=WPR_SSL:-https]
RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteRule .* - [E=WPR_ENC:_gzip]
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} =""
RewriteCond %{HTTP:Cookie} !(wordpress_logged_in_|wp-postpass_|wptouch_switch_toggle|comment_author_|comment_author_email_) [NC]
RewriteCond %{REQUEST_URI} !^(/(.+/)?feed/?|/(index\.php/)?wp\-json(/.*|$))$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^(facebookexternalhit).* [NC]
RewriteCond "%{DOCUMENT_ROOT}/wp-content/cache/wp-rocket/%{HTTP_HOST}%{REQUEST_URI}/index%{ENV:WPR_SSL}.html%{ENV:WPR_ENC}" -f
RewriteRule .* "/wp-content/cache/wp-rocket/%{HTTP_HOST}%{REQUEST_URI}/index%{ENV:WPR_SSL}.html%{ENV:WPR_ENC}" [L]
</IfModule>
# END WP Rocket
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Exista si folderul wp-admin

 tigerheart, on 12 aprilie 2019 - 00:11, said:

Din pacate am mai multe plugin-uri instalate, dar nu imi mai amintesc care sunt exact.

 marianwz, on 12 aprilie 2019 - 06:20, said:

Orice ajutor este binevenit, mersi.

https://uk.godaddy.c...l-hosting-12027
https://uk.godaddy.c...g-account-28023

fa asta si o sa-ti mearga, nu mai asculta prostiile astora, mai au putin sa-ti zica ca ai si cancer de cand cu malware-ul de pe site

Edited by marianwz, 12 April 2019 - 17:33.

 maryotm, on 12 aprilie 2019 - 17:08, said:

In mod normal nu fac din astea pro-bono. Tura asta am sa incerc sa te ajut doar ca sa-i demonstrez unui "expert in webdesign, webdevelopment & co" cat de idiot e. Idiot pe care il invit sa-si bage PCul, SmartPhoneul si mufa de Internet undeva...

Ok. Raportul e cam asa:
https://sitecheck.su....com/asdax.html

Si, se pare, poti incerca intr-un browser orice adresa de genul "farmer-mods.com/[[[sir random, de genul aaaaabbbbcccdddd]]].html" ca dai peste redirectul respectiv.

Pentru inceput, cauta in toate fisierele pe care le ai pe host sirul "hellofromhony.com" si vezi de-l gasesti.

Later Edit:
https://www.wordfenc...ed-in-the-wild/

Quote

Sau fa un update:
https://yellowpencil...ecurity-update/


Astept iexpertul Marean sa ne explice cum habar nu avem ce vorbim. Dupa care, sa-si bage tot webdesignul si webprogrammingul in Disk Operating System, pentru ca mananca rahat cu galeata.

Edited by dexterash, 12 April 2019 - 18:10.

 dexterash, on 12 aprilie 2019 - 18:01, said:

Am reusit sa gasesc fisierul ,,hellofromhony.com", era instalat in pluginul ,,WP-Rocket" si am facut update la Yellowpencil. Am sters pluginul respectiv WP-Rocket, dar problema inca persista din cate vad.
Am luat la puricat cam toate folderele din ,,public_html", dar avand in vedere ca nu sunt familiar cu wordpress imi este greu sa imi dau seama ce fisier este ,,strain".

1. Nu ai inteles ce ai de facut - am zis sa cauti in fisiere, nu fisierul. Ai sters doar un cache.
2. Nu ai citit ce ti-am lasat de la yellow pencil - ma refer la continutul linkului (normal, esti roman mandru, cum sa citesti si sa nu ti se dea mura'n gura tot?) - motiv pentru care nu te voi ajuta mai departe
3. Nu stiu cat tii la acel site, dar iti recomand sa apelezi la cineva care chiar stie ce face daca vrei sa il salvezi, nu ca ***ultramegazbengaexpertul*** de mai sus.

 marianwz, on 12 aprilie 2019 - 17:32, said:

nu deranjeaza ignoranta (ca nu te pricepi adica), dar modul asta de a porni orice postare cu "nu mai asculta prostiile altora" e stupid de-a dreptul, lasa-ti loc de intors:
"parerea mea este ca... dar sigur ca e posibil sa ma insel"

Si iata ca sigur te-ai inselat

 maryotm, on 12 aprilie 2019 - 20:01, said:

ai intrat cu ftp-ul in plugins si ai sters tot folderul wprocket, da?

Acum restaureaza si .htaccess-ul ala la cel original, downloadeaza kitul de wordpress si copiaza .htaccess de acolo, are doar 4-5 randuri

cum sa faci update la yellowpencil daca zice clar sa il stergi imediat, tot asa, folderul cu totul, iar pe pagina oficiala a pluginului zice ca a fost inchis pe 8 aprilie?

sterge-le cat mai rapid, fa ce ti-am zis cu .htaccess si cauta in toate fisierele sirul care ti l-a zis colegul

 maryotm, on 12 aprilie 2019 - 17:08, said:

pai cu FTPul vezi toate pluginurile, pune aici un screenshot cu continutul folderului plugins

@unbrutus, iti recomand sa stai nitel pe dreapta pentru ca nici tu nu ai inteles ce si cum. Si n'am nici cel mai mic chef sa demonstrez ca exista mai mult decat un "nestiutor" (ca sa nu zic altfel) p'aci.

 dexterash, on 13 aprilie 2019 - 01:07, said:

iti iei nasul la purtare... daca ai ceva de completat la ce am zis eu, completeaza

 dexterash, on 13 aprilie 2019 - 01:07, said:

cum ai zice altfel? hai sa vedem...

omul avea nevoie de o demonstratie ca site-ul e hackuit, lucru care i l-am spus de la inceput si lui si tuturor celorlalti care au zis ca nu e

ce vrei tu deci sa imi demonstrezi mie... vezi ca sari calu rau de tot. Nu e prima oara cand ti-am aratat ca habar nu ai de niste chestii pe care le prezinti ca adevaruri absolute

N'am vazut nici un voinic (in afara de @tigerheart care a mirosit foarte bine ce a mirosit) care sa demonstreze sau sa explice ce si cum. Nulitati si platitudini sunt toti in stare sa emita, pentru ca au impresia ca au IQul format din 3 cifre si o experienta de 100+ ani.

N'am nici un chef sa continui chestia asta. Cine are de priceput ce si cum (daca mai sunt prin zona de din astia), va pricepe. Restul - Dumnezo' cu mila, ca e plin online de experti in mancat diverse. Pofta buna, cum s-ar zice pe la altii...

Am renuntat la el si l-am redirectionat catre alt domeniu. Am sters toate plugin-urile, am reinstalat o copie noua a temei, o copie noua a scriptului de la wordpress si nu s-a intamplat nimic.
Era un site pentru un test mai mult sa vad diferentele de optimizare intre wordpress si o platforma ruseasca.

Multumesc tuturor pentru ajutor si scuze pentru deranj si polemicile care s-au creat. Nu asta a fost intentia.

O zi buna tuturor!