Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
spicuiri

Honor 8x sau Mate 20 lite?

Sfat achizitie auto drum lung (ex...

camuflajul - un mecanism lamarkia...
 B&B Collection tepari

ce masina de teren sa imi iau?

Te fac sporturile (baschet, handb...

Program mentenanta flota auto
 Aquarela

Influentarea analizelor

ACHIZITIE TV LED

Baterii externe (powerbank)
 vaselina alba bormasini

Centrala electrica + Puffer

Cine este de vina? (accident ruti...

Gard comun
 

Ajutor site hack-uit

- - - - -
  • Please log in to reply
19 replies to this topic

#1
maryotm

maryotm

    Junior

  • Grup: Members
  • Posts: 113
  • Înscris: 27.06.2010
Scuze daca nu am postat unde trebuie, dar intampin o problema si nu am idee ce sa-i fac. Detin un site pe platforma wordpress, acest script nu imi este familiar si nu detin multe cunostiinte despre el.

Am impresia ca mi-a fost compromis site-ul deoarece nu mai am acces la pagina de logare si imi apar niste redirectionari ciudate la un moment dat pe site spre site-uri dubioase.

Site-ul este gazduit pe godaddy (achizitionat la pachet domeniu + gazduire), dar din pacate suportul este ca si inexistent la ei. Urma sa migrez la o alta firma de hosting din Romania, dar as prefera sa o fac dupa ce rezolv problema.

Site-ul este farmer-mods.com

Singurul loc pe care il pot accesa este cel din Cpanel provenit de la Godaddy, dar nu am nici o idee ce fisiere trebuie sa caut si sa modific.

Orice ajutor este binevenit.

Attached Files


Edited by Adm, 11 April 2019 - 21:57.


#2
addelin

addelin

    Active Member

  • Grup: Senior Members
  • Posts: 2,044
  • Înscris: 17.12.2003
Cred ca ai vrut tu sa activezi https (ssl) si nu a functionat chiar ok, dar in rest nu pare compromis.

Poti sa migrezi chiar si in stadiul acesta: faci un backup din cpanel, importi la noul host, apoi schimbi rezolutia in dns si gata.


PS: godaddy mi se pare cam cel mai jegos provider!

Edited by addelin, 11 April 2019 - 22:26.


#3
alx42

alx42

    Active Member

  • Grup: Members
  • Posts: 1,453
  • Înscris: 26.06.2014
ba da e infectat cu ceva pt ca ii redirectioneaza pagini spre situri cu malware..

nu prea ai ce sa modifici tu daca zici ca nu detii cunostinte in domeniu.. deci cauta pe cineva care stie.
buba e ori in tema, ori in vreun plugin. wp e plin de pluginuri cu probleme de securitate

#4
addelin

addelin

    Active Member

  • Grup: Senior Members
  • Posts: 2,044
  • Înscris: 17.12.2003
Nu e infectat, e doar o problema cu activarea ssl-ului cum am scris mai sus, nu mai speriati oamenii aiurea!

Vad ca site-ul vine cu un certificat semnat catre secureserver.net, care e un domeniu care apartine de godday.

Attached Files


Edited by addelin, 11 April 2019 - 22:19.


#5
unbrutus

unbrutus

    Guru Member

  • Grup: Senior Members
  • Posts: 10,791
  • Înscris: 23.02.2017

View Postaddelin, on 11 aprilie 2019 - 22:15, said:

Nu e infectat
e infectat, pagina de admin e de negasit

View Postaddelin, on 11 aprilie 2019 - 22:08, said:

dar in rest nu pare compromis.
pagina de admin?

View Postmaryotm, on 11 aprilie 2019 - 21:46, said:

Am impresia ca mi-a fost compromis site-ul deoarece nu mai am acces la pagina de logare si imi apar niste redirectionari ciudate la un moment dat pe site spre site-uri dubioase.
a fost compromis clar

posteaza continutul fisierului .htaccess

e posibil ca si folderul wp-admin sa nu mai existe, daca poti confirma si asta

Edited by unbrutus, 11 April 2019 - 22:38.


#6
tigerheart

tigerheart

    Savage Member

  • Grup: Senior Members
  • Posts: 7,579
  • Înscris: 07.08.2008
farmer-mods.com/comments/feed/

Citat

<atom:link href="http:// hellofromhony.com/comments/feed/" rel="self" type="application/rss+xml" />
<link>https:// hellofromhony.com/goaway?temp=5&</link>

E posibil sa iti fi modificat chiar si baza de date... ai un backup? Astia de la GoDaddy ofera asa ceva?
Ai ceva plugin cu o bresa si prin aia au intrat si si-au facut de cap... cam asta e banuiala mea.

Edited by tigerheart, 12 April 2019 - 00:14.


#7
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 17,254
  • Înscris: 19.08.2004
Iar daca e așa cum zic ei - malware injectat și cu redirect random - promiti sa nu te mai atingi vreodată de PC/telefon + Internet pentru că habar nu ai ce și cum?

#8
laffin

laffin

    Active Member

  • Grup: Senior Members
  • Posts: 3,971
  • Înscris: 16.03.2007
ti-a injectat ceva scripturi in surse. acum sursa poate fi de la core-ul wp neupdatat si/sau pluginuri gaurite si neupdatate.
saaaau, de la tine. ai un mallware care iti extrage datele de conectare din clientul FTP. (cand faceam chestii din astea acum 12 ani, ce-mi mai bateam lula de fraieri)...

oricum, daca esti boschete si nu te descurci cauta pe cineva sa te ajute. am vazut si pluginuri care compara fisierele, iti face restore la cele afectate, dar trebuie sa umpli ca cauza, nu efect. s-ar putea sa fii norocos, de obicei astfel de hackuri nu iti afecteaza baza de date.

#9
maryotm

maryotm

    Junior

  • Grup: Members
  • Posts: 113
  • Înscris: 27.06.2010

View Postunbrutus, on 11 aprilie 2019 - 22:37, said:

e infectat, pagina de admin e de negasit


pagina de admin?


a fost compromis clar

posteaza continutul fisierului .htaccess

e posibil ca si folderul wp-admin sa nu mai existe, daca poti confirma si asta

Datele din .htaccess:

# BEGIN WP Rocket v3.2.3
# Use UTF-8 encoding for anything served text/plain or text/html
AddDefaultCharset UTF-8
# Force UTF-8 for a number of file formats
<IfModule mod_mime.c>
AddCharset UTF-8 .atom .css .js .json .rss .vtt .xml
</IfModule>
# FileETag None is not enough for every server.
<IfModule mod_headers.c>
Header unset ETag
</IfModule>
# Since we’re sending far-future expires, we don’t need ETags for static content.
# developer.yahoo.com/performance/rules.html#etags
FileETag None
<IfModule mod_alias.c>
<FilesMatch "\.(html|htm|rtf|rtx|txt|xsd|xsl|xml)$">
<IfModule mod_headers.c>
Header set X-Powered-By "WP Rocket/3.2.3"
Header unset Pragma
Header append Cache-Control "public"
Header unset Last-Modified
</IfModule>
</FilesMatch>
<FilesMatch "\.(css|htc|js|asf|asx|wax|wmv|wmx|avi|bmp|class|divx|doc|docx|eot|exe|gif|gz|gzip|ico|jpg|jpeg|jpe|json|mdb|mid|midi|mov|qt|mp3|m4a|mp4|m4v|mpeg|mpg|mpe|mpp|otf|odb|odc|odf|odg|odp|ods|odt|ogg|pdf|png|pot|pps|ppt|pptx|ra|ram|svg|svgz|swf|tar|tif|tiff|ttf|ttc|wav|wma|wri|xla|xls|xlsx|xlt|xlw|zip)$">
<IfModule mod_headers.c>
Header unset Pragma
Header append Cache-Control "public"
</IfModule>
</FilesMatch>
</IfModule>
# Expires headers (for better cache control)
<IfModule mod_expires.c>
ExpiresActive on
# Perhaps better to whitelist expires rules? Perhaps.
ExpiresDefault							  "access plus 1 month"
# cache.appcache needs re-requests in FF 3.6 (thanks Remy ~Introducing HTML5)
ExpiresByType text/cache-manifest		   "access plus 0 seconds"
# Your document html
ExpiresByType text/html					 "access plus 0 seconds"
# Data
ExpiresByType text/xml					  "access plus 0 seconds"
ExpiresByType application/xml			   "access plus 0 seconds"
ExpiresByType application/json			  "access plus 0 seconds"
# Feed
ExpiresByType application/rss+xml		   "access plus 1 hour"
ExpiresByType application/atom+xml		  "access plus 1 hour"
# Favicon (cannot be renamed)
ExpiresByType image/x-icon				  "access plus 1 week"
# Media: images, video, audio
ExpiresByType image/gif					 "access plus 4 months"
ExpiresByType image/png					 "access plus 4 months"
ExpiresByType image/jpeg					"access plus 4 months"
ExpiresByType image/webp					"access plus 4 months"
ExpiresByType video/ogg					 "access plus 1 month"
ExpiresByType audio/ogg					 "access plus 1 month"
ExpiresByType video/mp4					 "access plus 1 month"
ExpiresByType video/webm					"access plus 1 month"
# HTC files  (css3pie)
ExpiresByType text/x-component			  "access plus 1 month"
# Webfonts
ExpiresByType application/x-font-ttf		"access plus 1 month"
ExpiresByType font/opentype				 "access plus 1 month"
ExpiresByType application/x-font-woff	   "access plus 1 month"
ExpiresByType application/x-font-woff2	  "access plus 1 month"
ExpiresByType image/svg+xml				 "access plus 1 month"
ExpiresByType application/vnd.ms-fontobject "access plus 1 month"
# CSS and Javascript
ExpiresByType text/css					  "access plus 1 year"
ExpiresByType application/javascript		"access plus 1 year"
</IfModule>
# Gzip compression
<IfModule mod_deflate.c>
# Active compression
SetOutputFilter DEFLATE
# Force deflate for mangled headers
<IfModule mod_setenvif.c>
<IfModule mod_headers.c>
SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding
RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding
# Don’t compress images and other uncompressible content
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png|rar|zip|exe|flv|mov|wma|mp3|avi|swf|mp?g|mp4|webm|webp|pdf)$ no-gzip dont-vary
</IfModule>
</IfModule>
# Compress all output labeled with one of the following MIME-types
<IfModule mod_filter.c>
AddOutputFilterByType DEFLATE application/atom+xml \
							application/javascript \
							application/json \
							application/rss+xml \
							application/vnd.ms-fontobject \
							application/x-font-ttf \
							application/xhtml+xml \
							application/xml \
							font/opentype \
							image/svg+xml \
							image/x-icon \
							text/css \
							text/html \
							text/plain \
							text/x-component \
							text/xml
</IfModule>
<IfModule mod_headers.c>
Header append Vary: Accept-Encoding
</IfModule>
</IfModule>
<IfModule mod_mime.c>
AddType text/html .html_gzip
AddEncoding gzip .html_gzip
</IfModule>
<IfModule mod_setenvif.c>
SetEnvIfNoCase Request_URI \.html_gzip$ no-gzip
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} on [OR]
RewriteCond %{SERVER_PORT} ^443$ [OR]
RewriteCond %{HTTP:X-Forwarded-Proto} https
RewriteRule .* - [E=WPR_SSL:-https]
RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteRule .* - [E=WPR_ENC:_gzip]
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} =""
RewriteCond %{HTTP:Cookie} !(wordpress_logged_in_|wp-postpass_|wptouch_switch_toggle|comment_author_|comment_author_email_) [NC]
RewriteCond %{REQUEST_URI} !^(/(.+/)?feed/?|/(index\.php/)?wp\-json(/.*|$))$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^(facebookexternalhit).* [NC]
RewriteCond "%{DOCUMENT_ROOT}/wp-content/cache/wp-rocket/%{HTTP_HOST}%{REQUEST_URI}/index%{ENV:WPR_SSL}.html%{ENV:WPR_ENC}" -f
RewriteRule .* "/wp-content/cache/wp-rocket/%{HTTP_HOST}%{REQUEST_URI}/index%{ENV:WPR_SSL}.html%{ENV:WPR_ENC}" [L]
</IfModule>
# END WP Rocket
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress


Exista si folderul wp-admin

View Posttigerheart, on 12 aprilie 2019 - 00:11, said:

farmer-mods.com/comments/feed/


E posibil sa iti fi modificat chiar si baza de date... ai un backup? Astia de la GoDaddy ofera asa ceva?
Ai ceva plugin cu o bresa si prin aia au intrat si si-au facut de cap... cam asta e banuiala mea.
Din pacate am mai multe plugin-uri instalate, dar nu imi mai amintesc care sunt exact.

View Postmarianwz, on 12 aprilie 2019 - 06:20, said:

Activează un Certificat SSL și vezi dacă mai ai problema asta, unii vorbesc prea multe bălării pe aici Posted Image) te pot ajuta eu, numai ca să le arăt că nu e așa cum vorbesc ei.


business-grow.ro
Orice ajutor este binevenit, mersi.

#10
marianwz

marianwz

    Junior

  • Grup: Members
  • Posts: 57
  • Înscris: 09.03.2019
https://uk.godaddy.c...l-hosting-12027
https://uk.godaddy.c...g-account-28023

fa asta si o sa-ti mearga, nu mai asculta prostiile astora, mai au putin sa-ti zica ca ai si cancer de cand cu malware-ul de pe site

Edited by marianwz, 12 April 2019 - 17:33.


#11
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 17,254
  • Înscris: 19.08.2004

Vizualizare mesajmaryotm, pe 12 aprilie 2019 - 17:08, a scris:

Datele din .htaccess:
In mod normal nu fac din astea pro-bono. Tura asta am sa incerc sa te ajut doar ca sa-i demonstrez unui "expert in webdesign, webdevelopment & co" cat de idiot e. Idiot pe care il invit sa-si bage PCul, SmartPhoneul si mufa de Internet undeva...

Ok. Raportul e cam asa:
https://sitecheck.su....com/asdax.html

Si, se pare, poti incerca intr-un browser orice adresa de genul "farmer-mods.com/[[[sir random, de genul aaaaabbbbcccdddd]]].html" ca dai peste redirectul respectiv.

Pentru inceput, cauta in toate fisierele pe care le ai pe host sirul "hellofromhony.com" si vezi de-l gasesti.

Later Edit:
https://www.wordfenc...ed-in-the-wild/

Citat

Site owners running the Yellow Pencil Visual Theme Customizer plugin are urged to remove it from their sites immediately.

Sau fa un update:
https://yellowpencil...ecurity-update/


Astept iexpertul Marean sa ne explice cum habar nu avem ce vorbim. Dupa care, sa-si bage tot webdesignul si webprogrammingul in Disk Operating System, pentru ca mananca rahat cu galeata.

Edited by dexterash, 12 April 2019 - 18:10.


#12
maryotm

maryotm

    Junior

  • Grup: Members
  • Posts: 113
  • Înscris: 27.06.2010

View Postdexterash, on 12 aprilie 2019 - 18:01, said:

In mod normal nu fac din astea pro-bono. Tura asta am sa incerc sa te ajut doar ca sa-i demonstrez unui "expert in webdesign, webdevelopment & co" cat de idiot e. Idiot pe care il invit sa-si bage PCul, SmartPhoneul si mufa de Internet undeva...

Ok. Raportul e cam asa:
https://sitecheck.su....com/asdax.html

Si, se pare, poti incerca intr-un browser orice adresa de genul "farmer-mods.com/[[[sir random, de genul aaaaabbbbcccdddd]]].html" ca dai peste redirectul respectiv.

Pentru inceput, cauta in toate fisierele pe care le ai pe host sirul "hellofromhony.com" si vezi de-l gasesti.

Later Edit:
https://www.wordfenc...ed-in-the-wild/



Sau fa un update:
https://yellowpencil...ecurity-update/


Astept iexpertul Marean sa ne explice cum habar nu avem ce vorbim. Dupa care, sa-si bage tot webdesignul si webprogrammingul in Disk Operating System, pentru ca mananca rahat cu galeata.

Am reusit sa gasesc fisierul ,,hellofromhony.com", era instalat in pluginul ,,WP-Rocket" si am facut update la Yellowpencil. Am sters pluginul respectiv WP-Rocket, dar problema inca persista din cate vad.
Am luat la puricat cam toate folderele din ,,public_html", dar avand in vedere ca nu sunt familiar cu wordpress imi este greu sa imi dau seama ce fisier este ,,strain".

#13
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 17,254
  • Înscris: 19.08.2004
1. Nu ai inteles ce ai de facut - am zis sa cauti in fisiere, nu fisierul. Ai sters doar un cache.
2. Nu ai citit ce ti-am lasat de la yellow pencil - ma refer la continutul linkului (normal, esti roman mandru, cum sa citesti si sa nu ti se dea mura'n gura tot?) - motiv pentru care nu te voi ajuta mai departe
3. Nu stiu cat tii la acel site, dar iti recomand sa apelezi la cineva care chiar stie ce face daca vrei sa il salvezi, nu ca ***ultramegazbengaexpertul*** de mai sus.

#14
unbrutus

unbrutus

    Guru Member

  • Grup: Senior Members
  • Posts: 10,791
  • Înscris: 23.02.2017

View Postmarianwz, on 12 aprilie 2019 - 17:32, said:

https://uk.godaddy.c...l-hosting-12027
https://uk.godaddy.c...g-account-28023

fa asta si o sa-ti mearga, nu mai asculta prostiile astora, mai au putin sa-ti zica ca ai si cancer de cand cu malware-ul de pe site
nu deranjeaza ignoranta (ca nu te pricepi adica), dar modul asta de a porni orice postare cu "nu mai asculta prostiile altora" e stupid de-a dreptul, lasa-ti loc de intors:
"parerea mea este ca... dar sigur ca e posibil sa ma insel"

Si iata ca sigur te-ai inselat

View Postmaryotm, on 12 aprilie 2019 - 20:01, said:

Am reusit sa gasesc fisierul ,,hellofromhony.com", era instalat in pluginul ,,WP-Rocket" si am facut update la Yellowpencil. Am sters pluginul respectiv WP-Rocket, dar problema inca persista din cate vad.
Am luat la puricat cam toate folderele din ,,public_html", dar avand in vedere ca nu sunt familiar cu wordpress imi este greu sa imi dau seama ce fisier este ,,strain".
ai intrat cu ftp-ul in plugins si ai sters tot folderul wprocket, da?

Acum restaureaza si .htaccess-ul ala la cel original, downloadeaza kitul de wordpress si copiaza .htaccess de acolo, are doar 4-5 randuri

cum sa faci update la yellowpencil daca zice clar sa il stergi imediat, tot asa, folderul cu totul, iar pe pagina oficiala a pluginului zice ca a fost inchis pe 8 aprilie?

sterge-le cat mai rapid, fa ce ti-am zis cu .htaccess si cauta in toate fisierele sirul care ti l-a zis colegul

View Postmaryotm, on 12 aprilie 2019 - 17:08, said:

Din pacate am mai multe plugin-uri instalate, dar nu imi mai amintesc care sunt exact.
pai cu FTPul vezi toate pluginurile, pune aici un screenshot cu continutul folderului plugins

#15
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 17,254
  • Înscris: 19.08.2004
@unbrutus, iti recomand sa stai nitel pe dreapta pentru ca nici tu nu ai inteles ce si cum. Si n'am nici cel mai mic chef sa demonstrez ca exista mai mult decat un "nestiutor" (ca sa nu zic altfel) p'aci.

#16
unbrutus

unbrutus

    Guru Member

  • Grup: Senior Members
  • Posts: 10,791
  • Înscris: 23.02.2017

View Postdexterash, on 13 aprilie 2019 - 01:07, said:

@unbrutus, iti recomand sa stai nitel pe dreapta pentru ca nici tu nu ai inteles ce si cum.
iti iei nasul la purtare... daca ai ceva de completat la ce am zis eu, completeaza

View Postdexterash, on 13 aprilie 2019 - 01:07, said:

Si n'am nici cel mai mic chef sa demonstrez ca exista mai mult decat un "nestiutor" (ca sa nu zic altfel) p'aci.
cum ai zice altfel? hai sa vedem...

omul avea nevoie de o demonstratie ca site-ul e hackuit, lucru care i l-am spus de la inceput si lui si tuturor celorlalti care au zis ca nu e

ce vrei tu deci sa imi demonstrezi mie... vezi ca sari calu rau de tot. Nu e prima oara cand ti-am aratat ca habar nu ai de niste chestii pe care le prezinti ca adevaruri absolute

#17
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 17,254
  • Înscris: 19.08.2004
N'am vazut nici un voinic (in afara de @tigerheart care a mirosit foarte bine ce a mirosit) care sa demonstreze sau sa explice ce si cum. Nulitati si platitudini sunt toti in stare sa emita, pentru ca au impresia ca au IQul format din 3 cifre si o experienta de 100+ ani.

N'am nici un chef sa continui chestia asta. Cine are de priceput ce si cum (daca mai sunt prin zona de din astia), va pricepe. Restul - Dumnezo' cu mila, ca e plin online de experti in mancat diverse. Pofta buna, cum s-ar zice pe la altii...

#18
maryotm

maryotm

    Junior

  • Grup: Members
  • Posts: 113
  • Înscris: 27.06.2010
Am renuntat la el si l-am redirectionat catre alt domeniu. Am sters toate plugin-urile, am reinstalat o copie noua a temei, o copie noua a scriptului de la wordpress si nu s-a intamplat nimic.
Era un site pentru un test mai mult sa vad diferentele de optimizare intre wordpress si o platforma ruseasca.

Multumesc tuturor pentru ajutor si scuze pentru deranj si polemicile care s-au creat. Nu asta a fost intentia.

O zi buna tuturor!

Anunturi


0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate