Security servera, borba s hakerima

U zadnje vrijeme se borim sa hakerima i exploitima pa bih ovdje postavljao neka pitanja na koja ne mogu naći jasan odgovor online. Interesuje me da li je dobra ideja u slucaju da mi se pojavljuju fajlovi od hakera koje kad obrisem pojave se opet, iskljuciti kompletno FTP server i SSH?

Ako iskljucim to dvoje sta mu preostaje za ulaz?

Hack ide preko .ico fajlova koji se @include kroz index.php i wp-config.php, promijeni mi i permissions u 775 na tim fajlovima, ja obrisem taj include string i vratim na 644 ili 400 chmod, ali sutradan su .ico fajlovi tu, a i index.php je opet na 775 i dodan je gore kod za include tih ico fajlova koji su u biti php fajlovi pod .ico ekstenzijom. Preko toga redirectaju traffic na kategorijama, ubacuju u SERP neke njihove rezultate, ali nakon sto sam poceo brisati redovno svaki dan, kao da oni ne stignu ubaciti te redirecte, i sajtovi rade normalno sve dok ja to brisem redovno, ali naporno je.

Takodjer sad se pojave i tragovi Indoexploita, neki indonežanski program koji ostavlja fajlove na serveru koji ti gase logove i mogu dodati fajlove i raditi sta hoce. I to pobrisem redovno.

Ocito ne mogu naci backdoor uspjesno, jer dzaba ja brisem ako oni imaju ulaz, negdje. Zadnja ideja koju imam je iskljucivanje FTP-a i SSH jer mi i ne trebaju. Da placam ono Sucuri ili Wordfence, to kosta po sajtu 200 dolara ili tako nesto, a ja imam na serveru 10 sajtova.

Moras ih obrisati, inace drugog ti spasa nema.

Ne mogu ga naći jbg. Wordpress ima desetine hiljada fajlova, a imam 10 instalacija na serveru. :frowning:

Iskljucio sam FTP i SSH cisto da vidim usporava li ih to ili zaustavlja.

Inače znao sam imati problema s hakerima zbog nullovanih tema i preselim se na novi server i stanu, pa 2 godine nemaš nikakvih problema. To je čudnovato.

E pa eto nasao si resenje nulled tema. Neki sajt ti koristi neku sa propustom i potpuno ispravno sto ti to rade.

1 resenje ti je da fino preuzmes svih deset sajtova i odradis jedan scan sa antivirusom verovatno ce ti i pronac vise toga i verovatno su ti do sad zakacili i par priv shell, tako da dobro to skeniraj izbrisi sve sto ti nadje antivirus.

Instaliraj iznova VPS tako da znas da nemas na njemu neki propust negdje. Uploaduj sve sajtove i naravno baze ne zaboravi. Ne koristi vise nulled theme vec im stavi normalne, ili fino plati i sve ostale izbrisi iz foldera koje se ne koristi. Takodje wp-includes i wp-admin izbrisi sa svih 10 sajtova i uploaduj iz nove instalacije takodje i dodatke sve provjeri ako koristis nulled teme verovatno si instalirao i dodatke koje ti one traze ovo naravno sve zavrsis prije uploadovanja na novi vps.

2 resenje najpametnije od svega da samo export slike i postove i da iznova odradis instalacije na novi server i to fino importujes za svaki sajt koji ti se tu nalazi, ima posla dosta ali si rijesio u potpunosti problem da znas da nece imat nigdje propust. I fino na legalne teme i nema problema.

Javi se na pm.
Post must be at least 20 characters

pripremi neki stariji backup fajlova a napravi frišak backup baza

reinstaliraj vps, vrati sve, poveži cloudflare i instaliraj ithemes security

provjeri svaki fajl tih sumnjivih tema, obriši svaki base64 kod koji nađeš u fajlovima

2 Likes

Dodaj si certifikat i spajanje na server iskljucivo sa certifikatom.

Ostavis otvoren port 443, i port za ssh i spajas se sa certifikatom, sve ostale portove ugasis.

Zna li neko kako preko command line-a naći sve .php fajlove koji imaju 8 znakova u imenu, u public_html i svim subfolderima ?

da se odmah razumjemo, nisam nikakav znalac ali žao mi je što se to nekome dešava. Moj hosting/tvrtka koja mi vodi stranicu je riješio problem sa Sucuri ali vidim da si to naveo kao skupu alternativu. Problem je bio u nekom plug-inu koji je nakon što je obrisan, problem je bio riješen. Znam da nisam pomogao ali eto, bar nešto da napišem

uspio sam naći komandu za searchanje specifično php fajlova s imenom dugim 8 karaktera, jer takvi mi se kote na serveru i pronašao sam ih podosta na mjestima gdje nikad ne bih tražio (uploads folder za slike, 2018, četvrti mjesec, ili tako nešto), danas sam baš pobrisao sve što sam mogao naći od tih ico fajlova do ovog smeća do koda u index.php i configu sto se pojavljuje, za sad se nista novo ne pojavljuje, drzim fige sam sebi

2 Likes

Ja se zasada uspješno odupirem naporima zahvaljujući par stavki u .htaccessu

  • X-XSS-Protection
  • X-Content-Type-Options
  • Strict-Transport-Security
  • Content-Security-Policy

I još par postavki za sakrivanje PHP verzije, apache verzije, baniranje IP-a i dr. Ne koristim CloudFlare niti išta slično, a niti pluginove za sigurnost. Sve ručno.

2 Likes

Ko zna - zna, blago tebi, ja nemam blage veze sta sve ne instaliram, pa onda sve obrisem, imam samo 11 plugina sada :joy::joy: i metlu za ciscenje

Tako se najbolje uči. :relaxed:

1 Like