Suporte » Plugins » Site constantemente invadido

  • Resolvido nivasgallo

    (@nivasgallo)


    Tenho um site que foi lançado recentemente que tem o arquivo index.php do seu template (um template que crei para o cliente) regularmente alterado com uma inserção de php malicioso. Li os posts do Codex sobre o assunto:
    http://codex.wordpress.org/FAQ_My_site_was_hacked
    http://codex.wordpress.org/Hardening_WordPress

    Troquei senhas de usuários, chaves secretas, ftp, e banco, instalei alguns plugins de segurança:
    Exploit Scanner
    http://ocaoimh.ie/exploit-scanner/

    BulletProof Security
    http://www.ait-pro.com/aitpro-blog/297/bulletproof-security-plugin-support/bulletproof-security-wordpress-plugin-support/

    Efetuei backups, rodei antivirus em máquinas locais, estou com a última versão do WordPress. Ainda assim, ontem o site foi novamente invadido e o código alterado. Como último recurso, entrei em contato com o servidor de hospedagem (Locaweb), e recebi a seguinte mensagem:

    O WordPress assim como o Joomla são ferramentas gratuitas desenvolvidas por terceiros, a Locaweb não se responsabiliza caso usuários que utilizem esta ferramenta e passe a ter problemas relacionado a ataques e ou invasões, recentemente os servidores da WordPress foram invadidos e os administradores do mesmo solicitou que usuários passem a alterar suas senhas para não gerar problemas futuros. O que poderíamos lhe orientar a sempre atualizar esta ferramenta quando liberarem novas atualizações, pois, por elas, os criadores desta ferramenta desenvolvem Patchs que fecham determinadas falhas/vulnerabilidades.

    Não acredito que a falha de segurança tenha sido do WordPress, até por que o blog é hospedado no servidor da Locaweb, e não no WordPress. Na verdade soou como uma tentativa de se esquivar da segurança do site.

    Gostaria de uma orientação para como lidar com esse hack de index.php e o que posso fazer para evitar que ele ocorra, e saber como esse tipo de hack ocorre.

Visualizando 9 respostas - 1 até 9 (de um total de 9)
    • Passou o site pelo sucuri?
    • Existe o arquivo timthumb.php em qualquer local do site(plugins/temas/outros diretórios)?
    • Algum arquivo na raiz da hospedagem com a função php shell_exec ou exec?
    • Possui FTP anônimo?
    • Quais as permissões de pastas e arquivos?
    • Rode o plugin Theme Check e o Plugin Check para recomendações

    Verifique.. e, a invasão mencionada foi nos servidores da WP.com, o blog da empresa de hospedagem citada utiliza WordPress e ainda recomendam a utilização na hora da venda! Ah é, tem também a Wiki, especial deles, sobre WordPress. Que vergonha para eles.

    Criador do tópico nivasgallo

    (@nivasgallo)

    Obrigado Lucas!

    Passei pelo Sucuri, ele que identificou o malware no index.php. Vou fazer as outras checagens e em breve retorno o resultado.

    Nivas

    Criador do tópico nivasgallo

    (@nivasgallo)

    Bom dia Lucas,

    Busquei pelo arquivo timthumb.php e não o encontrei. Apaguei todos os arquivos do wordpress (exceto wp-config e a pasta wp-content) e reinstalei o sistema.
    O site não tem FTP anônimo.
    As permissões de pasta são 705; as de arquivos são 644;
    Rodei os dois plugins, e obtive diversas sugestões. Nesse interim, entrei em contato com o serviço de hospedagem da Locaweb e obtive a seguinte resposta:

    Verifiquei que não há logs de FTP nos últimos 7 dias, o que mostra que não houve acessos recentes deste tipo. Nos logs de HTTP, somente localizamos acessos normais, sem indícios de ações maliciosas e com relação ao arquivo específico que informou, o mesmo não apresenta nenhuma modificação específica nos logs. Os mesmos foram disponibilizados no arquivo “http.txt” na raiz da sua hospedagem.

    O mistério perdura, e o problema também. Minha solução será recomendar ao cliente adquirir o serviço de proteção do Sucuri, uma vez que a Locaweb não consegue detectar invasões ou proteger minhas pastas.

    Muito obrigado pela sua ajuda.

    Existem muitas recomendações que podem ser consideradas. Mas, conhecendo o malware ou o que contém nele, fica mais fácil identificar com os problemas ocorridos com outras pessoas através de um buscador.

    Só lembrando que a advertência:

    WordPress internal path

    Não é sinal de malware.

    Você pode corrigir com as recomendações sucuri:
    WordPress Internal Path Warning

    Cara… tá me parecendo malware de javascript genérico. Malwares assim só aparecem quando o navegador processa o php+js.

    Este tema você quem fez?

    Criador do tópico nivasgallo

    (@nivasgallo)

    Oi!

    Sim, fui eu quem desenvolveu o tema! Existe algum meio de proteger seus arquivos?

    Criador do tópico nivasgallo

    (@nivasgallo)

    Bloqueei a edição dos plugins e temas no WordPress. Aparentemente isso solucionou o problema.

    @nivasgallo

    Como você fez este bloqueio nivasgallo? Abraços.

    Criador do tópico nivasgallo

    (@nivasgallo)

    Adicione essas linhas ao seu arquivo config.php

    /** Disabling the Plugin and Theme Editor */
    define(‘DISALLOW_FILE_EDIT’,true);

Visualizando 9 respostas - 1 até 9 (de um total de 9)
  • O tópico ‘Site constantemente invadido’ está fechado para novas respostas.