Witam,

od jakiegoś czasu w treści wpisów na moim blogu pojawiają się linki kierujące do dziwnych stron typu: "buy cialis online" itd.

Napiszę może co już zrobiłem:
- zmieniłem nazwę z admin na inną
- usunąłem wersję WP z kodu
- teraz zainstalowałem wtyczki zabezpieczające: wordpress file monitor, wordpress firewall, secure wp (zobaczymy z jakim skutkiem...)
- zablokowałem foldery dodając do nich puste pliki index.php
- sprawdziłem bezpośrednio w bazie danych i nie ma tam innych użytkowników niż administrator
- łącząc się przez ftpa hasło wpisuję ręcznie i nie jest zapisywane

Macie może jeszcze jakieś inne pomysły i czy wiecie w jaki sposób ktoś umieszcza te wpisy?

Dziękuję i pozdr.,
Marcin

Wyłącz wszystkie wtyczki. Nie bez powodu użyłem słowa WSZYSTKIE.
Jak to nie pomoże, zmień szablon na domyślny, twentyteen.

Co najmniej dwa dni testowania każdej opcji. Dodawanie nowych wpisów mile widziane.

Wyłączę wtyczki i zobaczymy.
Dziękuję i będę informował co i jak.

Witam,

mam identyczny problem. Do wszystkich wpisów dodaje mi dziwne wpisy typu "Buy cośtam online". Wykonałem wszystkie wyżej opisane czynności, poinstalowałem wtyczki zabezpieczające przed spamem. Linijki wstawionego kodu musiałem niestety usuwać ręcznie. Było ok 1,5 tygodnia spokoju, po czym wczoraj znowu to samo!!

Czego to może być przyczyna? Jak z tym walczyć?

Przewertowałem Internet i nie znalazłem nic na ten temat.

Będę wdzięczny za pomoc.

zobaczcie czy nie rejestruja wam sie jacys dziwni uzytkownicy, jak tak to wejdzie na strone recaptcha i zainstalujcie wtyczke do WP

a może miałeś włam na bloga... sprawdź czy szablon korzysta ze skryptu timthumb.php (będzie w katalogu thema) . jeżeli tak to ściągnij sobie z neta aktualizację pliku i nadpisz go

ja przez tą dziurę miałem ostatnio podłączonego na stronie klona paypala z indonezji

Zakładam że korzystasz z ToTal Commandera?

Czy masz total Commandera, czy Filezille czy inne to nie ma znaczenia, bezpieczna jest tylko kartka. Miałem filezille i tak miałem włam, zapytałem na forum filzilli, najlepiej kartka lub głowa i wpisujesz tylko dla sesji dajesz zapamiętaj i zapamiętuje dla sesji, ale nigdzie nie zapisuje.

wracając do tematu miałem kiedyś polskiego usera, który po rejestracji obchodził zabezpieczenia i dodawał sobie posty. Zakładał po kilka kont i dodawał, ale w końcu zwątpił jak mu wszystko wywalałem. Problem w tym, że taki user może być niewidoczny na liście - ukryty przed adminem.


--------------------
Lampy led - zapraszam do obejrzenia naszych realizacji oświetlenia sufitowego w oparciu o lampy led: oświetlenie sufitowe

Najprościej chyba będzie jak dostanę pliki szablonu bo na 99% będzie to tam
Sprawdź czy nie masz nadmiarowych uprawnień 777 na wrażliwe katalogi, może jakiś folder ze skryptem nieznanymi danymi?

Anoż niestety padłeś ofiarą włamania, typowe działanie "Ś"pamerów, wykorzystując lukę (zwykle w samym WP) umieścili kod z linkami pewnie zakodowany w base64, ale cóż tak to już jest z tym, prowadzisz bloga musisz się z tym liczyć że coś ci wpakują, możesz zminimalizować ryzyko stosując wspomniane wtyczki, jednakże nie ma 100% pewności że nikt ci się nie włamie.

Co do zabezpieczeń, te które wymieniłeś to podstawowe. Ja bym ci poradził jeszcze, abyś sprawdził swoją templatkę na obecność złośliwego kodu, możesz użyć wtyczki TAC (http://wordpress.org/extend/plugins/tac/) ale nie sprawdzaj skórki na żywca tylko testy wykonaj najlepiej na lokalnym serwerze (locahost).

Proponuję także sprawdzić wszystkie wtyczki, czy aby nie korzystają z plików do auto-generowania miniaturek jak timthumb. Ostatnio pełno ataków jest wykorzystujących lukę w zabezpieczeniach tego "dodatku". W przypadku wykrycia, dwa wyjścia, albo pozbywasz się dodatku, albo po prostu filtrujesz ruch "gościnny", który pójdzie na ten plik, a to już tylko kwestia odpowiedniego kodu w htaccess.

Ten post edytował rokko 17.12.2011 - 22:39

Żadna wtyczka nie zastąpi zdrowego rozsądku przy zarządzaniu blogiem (zmiana domyślnego usera admin na inny, aktualizacje wszytko co dostępne nowe, kontrolowanie serwera, blokowanie chińskich i rosyjskich IP etc.), nie używanie TotalCommandera, a np. BitKinexa





TimThumb - Wystarczy zamienić starą zawartość pliku na zawartość z nowej wersji (dostępnej w Google Code)
Jak mówiłem wyżej - blokada chin, azji i rosji to podstawa (i ze względów bezpieczeństwa i obciązenia serwera - yandex potrafi pobierać 80% procesora podczas indeksowania strony)

Sprawdź czy nie masz nadmiarowych 777 jak mówiłem wcześniej i poszukaj w kodzie templatki hasła "eval" bądź "base64"

Jeżeli nadal masz problem zapraszam via PW

Ten post edytował TuTurysta 17.12.2011 - 23:27

Timthumb najlepiej całkiem zrezygnować bo nie wiadomo kiedy znowu odkryją nową lukę w tym dodatku Choć typ poprzedniego ataku jest na tyle charakterystyczny, że można ustawić filtrowanie i też będzie bezpiecznie.


Po chusteczkę ma to robić ręcznie, niech użyje dodatków typu WP Security Scan. Sprawdzą wszystko za niego i podają info co jest źle ustawione. Trzeba sobie ułatwiać życie, a nie utrudniać

Jeszcze zależy gdzie jest serwer, ostatnio miałem okazję bawić się skryptem wykorzystującą luki w serwerach home.pl - po wgraniu skryptu można było uploadnąć każdy plik.

Oczywiście można włączyć wtyczkę, chodź osobiście uważam, że bezpieczeństwo jest najważniejsze i powinno się sprawdzać to w pierwszej kolejności, ale każdy ma swoją politykę bezpieczeństwa.

BTW Wczoraj miałem okazje naprawiać atak na Wordpressa - powód: 777 na cały public_html i to na znanej stronie o... serwerach

Człowiek nie zna dnia ani godziny kiedy nastąpi atak, a też każdy z nas jest człowiekiem i o pewnych rzeczach może zapomnieć, co od razu zostanie wykorzystane.

Odnosząc się jeszcze do kwestii zabezpieczania.
@mardo, proponuję wyposażyć bloga w system monitorowania, wtedy to każde wywołanie URL zostanie przechwycone, każda próba ataku zarejestrowana i będziemy mogli zabezpieczyć się przed kolejnymi atakami z danego hosta. Uważam że oprócz typowego zabezpieczenia kwestia monitorowania użytkowników jest równie istotna.