Wordpress install "virusat"

Am fost rugat de o cunostinta sa repar un site wordpress (http://damagelimitation.org/) care primesti in Chrome/Firefox in momentul de fata notificarea cu "Safe Browsing - the site contains malware … " (nu e neaparat recomandat sa clickuiti).

In prima faza am gasit problema, era vorba de plugin de gravity (problema e descrisa bine in articolul asta https://blog.sucuri.net/2015/02/malware-cleanup-to-arbitrary-file-upload-in-gravity-forms.html) am facut cleanup si am anuntat clientul sa faca update la wordpress & plugins. Problema sa rezolvat pe moment si nu am mai primit notificarea respectiva timp de o zi, sa facut upgrade la Wordpress 4.3.1.

Dupa o zi am primit din nou notificarea am verificat codul am cautat dupa eval() si alte probleme ce erau anterior in js-uri da nu am gasit nici o problema. Am mai incercat sa:

  • download wordpress 4.3.1 oficial si comparat upgrade-ul, nu am gasit modificari
  • verificat contentul in DB, am verificat pe un dump de MySQL cautand dupa eval()

Nu am gasit nici o problema, daca aveti sugestii cum sa identific problema scrieti mai jos. Google Safe Browsing nu e prea explicit cu privire la problema si update se face doar odata pe zi.

Eu am întâlnit situații în care:

  • aveam o mulțime de porcării în .htaccess, dar nu înainte să am câteva sute de linii goale (să ai impresia că ai ajuns la sfârșitul documentului);
  • aveam porcării în wp-config.php;
  • permisiuni/fișiere dubioase în wp-content/uploads care puteau fi executate remote.

Sugestii:

  1. uite-te în access log, vezi ce fișiere au fost accesate și ce pare dubios;
  • zip la tot public_html și descarci local (pentru căutări mai bune, eventual un antivir poate găsi chestii suspecte)
  • te apuci să cauți patterns suspecte (în wp-content/uploads nu ar trebui să fie vreun fișier php; dacă este nu ar trebui să fie executabil/parsabil de către PHP)
  • ștergi tot în afară de wp-content (recomand să ștergi și wp-content/plugins și wp-content/themes, după care reinstalezi tema/plugin-urile manual);
  • dezarhivezi un WP nou nouț și curat;
  • ștergi tot ce ai în public_html pe server;
  • urci arhiva înapoi & dezarhivezi;
5 Likes

am patit si eu treaba cu htaccess-ul, si am avut si in db mizerii. tot de la un plugin.

Ar trebui sa ai mai multe informatii in Google Webmaster Tools.

Un mic follow up, am verificat majoritatea din lista lui @iamntz:

Da nu am gasit, am incercat si sugestia lui @noah in Google Web Master tools da acolo nu a putut sa-mi spuna unde e problema, pe ce url/pagina:

Undetermined malware
These pages directed users to a site that serves malware or unwanted software. Unfortunately, the malicious code within the page could not be isolated.

Am lasat problema unui developer wordpress sa o rezolve, prevad o nisa de succes pe domeniul asta.

Salutare!

De cateva luni ofer un serviciu de devirusare a siteurilor wordpress pe un site de freelance.

Cea mai sigura modalitate sa devirusezi un site si sa gasesti malware pe care am gasit-o este: @Linux:maldet/clamav
In 99.9% din situatii am reusit cu succes sa gasesc problemele cu o simpla scanare a fisierelor din /www
https://www.rfxn.com/projects/linux-malware-detect/
http://www.clamav.net/

PS: De asemenea recomant testarea wordpressului cu http://tools.kali.org/web-applications/wpscan :smile:

Salutare!Mai sunt de actualitate aceste surse pentru scanare?
Multumesc!