Kako očistiti WP zaražene file-ove

#1

Nisam baš puno radio sa WP, a trebao bi počistiti jedan WP site od zaraženih skripti.

Jel to težak zadatak, skrivaju li se vragovi dobro, ili je to rutinski job?

Neke sugestije od kuda krenuti? Hvala.

0 Likes

#2

ja bih svaki fajl ručno pregledao i obrisao sve encoded linije

ne vidim drugi meni pouzdan način

0 Likes

#3

Ja bi nanovo sve instalirao i dumpao i rucno pregledao databasu. Ako je velika ajme boze pomozi… Ipak skines ju pa preko txt editora letimicno pogledat…

No to ovisi sa cim si se zarazio, ako je pharmahack ili neka od tih verzija onda bog ti pomozi…

1 Like

#4

Ja bi zvao hitnu PC službu :man_shrugging:t2:

7 Likes

#5

Huh, znači bu veselo.
Inace na serveru ima više wp site-ova (neznam im ni točno broj) i svi su zaraženi. Ima siteova i koji nisu WP, malware se, ako sam dobro zapamtio, naselio i na njih.
Inace se radi o hostingu sa klijentima sto sam preuzeo, pa sam totalno iz vedra neba uronjen u meni nepoznatu situaciju…i nemam pojma sto se sve tu ranije izdesavalo.

Nego, pada mi na pamet… ako taj file inficira i wp i ostale sajtove…da se onda fino potpisuje.
Mozda napraviti skriptu koja će naći sve sličnosti između dva foldera, pa bi takvom pretragom selektirao vanjsko tijelo koje se naseljava? Jer ja ne mogu niti rucno to pretrazivati, kada bi morao kopati po meni nepoznatim file-ovima. A nije mi niti WP dovoljno poznat, da bi znao uočiti tko je uljez.

A što se tiče baze, što unutra mogu očekivati da ću naći? Ocke…dosta bi mogli biti očigledni nekakvi neželjeni patterni u bazi …osim ako WP nema sam po sebi praksu puniti bazu sa nekakvim system-contetom, koji u tom slučaju bude teško razlikovati od neželjenog contenta.
No dobro, čisto sa tehničke strane…što bi to moglo biti u bazi što će se aktivirati kao maliciozni code?
Onako na prvu vidim da to mogu biti samo js-script tagovi…koji će pokrenuti nekakav javascript ako se renderiraju na mjestu html-a, te se tako aktiviraju.
No što još mogu očekivati unutar baze, a da je sposobno aktivirati se kao code koji se izvršava? Nemam ideju?
Jerbo koliko ja kuzim, sve sto je u bazi…na server strani ne moze napustiti formu stringa i postati php koji se izvršava? Barem ne može bez partnera, koji već je php i koji će pomoći tom malicioznom djelu u bazi da se aktivira. Jer, mogao bi biti nekakav php koji će eval funkcijom startati zapise iz baze… mada taj komad php.a je isto tako mogao onda raditi sra.nja i bez dijelova iz baze… čemu mu onda to? Jedino pari da se možda lakše može sakriti ako je meso virusa u bazi…a nekakav malecki triger tog mesa se pokušava sakriti negdje među skriptama?

Eto, ako netko ima iskustva sa nekim specifičnim situacijama…bit će svakako korisno ako ih podijeli. Čisto da se razjasni s kakvom artiljerijom virusi raspolažu u ovoj oblasti.

Fala.

0 Likes

#6

Znaš da budem :slight_smile:
Smijao mu se netko da traži viruse po nazivu, bome bi sada najkorisnija bila upravo biblioteka svih naziva i patterna koje treba traziti.

Mada mislim da gospon ne radi ovaj segment…bumo vidli :slight_smile: Kad rasturi :smiley:

0 Likes

#7

Ha gle.
Ja sam znao naletit da link (htttp://) pretvore u base64_encoded ručno i onda da koriste base64_decode.
Sad recimo uz neku metodu uz koju uopće nebi posumljo u 1 liniji base 64_decode i poziv na web servis od napadača.
Ovo sam rekao primjer za base64 pošto je najlaški, može tu biti sve i svašta.
@bozoou

0 Likes

#8

@bozoou evo imas par savjeta

https://sucuri.net/guides/how-to-clean-hacked-wordpress

Sucuri ima takoder site scaner i za servere koji imaju vise stranica…pa eto pogledaj nadam se da ce ti pomoci :slight_smile:

0 Likes

#9

Bilo je vec tema kako ocistiti malware, tocnije pharmahack. Ima tu zarazenih, neka se jave kako su prezivjeli.

Ako su to sitevi koji nista ne vrijede onda mozes isprobavati metode i vidjeti sto funkcionira a sto ne. Nesto ces i nauciti.

Level pharmahacka je tako velik da ako ne poznajes svaki WP file u sustinu moguce je da se dio codea naselio tamo. A ako i poznajes code u fileovima i mozes filtrirati code koji radi sranja ipak moras procesljat i databasu jer ako je unutra nesto onda ces se igrati macke i misa, ti pocistis fileove za mjesec dana oni su opet filtrirani, ili pocistis bazu a za mjesec dana se ona opet filtrira… I tako u krug…

A kako se to vrti u krug tako ti sitevi sve vise i vise propadaju iz dana u dan…

bilo je to davne 2013te:

1 Like

#10

Probaj s nekim pluginom počistiti za početak, recimo Wordfence. On ti recimo uspoređuje file-ove na site-u sa original file-ovima, samo uključi tu opciju.

1 Like