Ovako, probao sam neki Sucuri plugin. Ima dugme da skenira malware :). Šalim se...
Uglavnom, ima čini mi se dobar Dashboard gde mogu da pratim sve izmene, sve loginove, pokusaje....
Ima dosta nekih pojasnjenja šta mi nije pravilno setovano, ali to još ne kapiram, pa moram da guglam jedno po jedno....
U međuvremenu, hakovali mi još jedan sajt, skroz na drugi način.
Prethodni kolega je na ovom WP sajtu ostavio user admin, i password je imesajta01
Neki bot je verovatno to provalio iz trećeg pokušaja :). Prvo admin/admin pa admin/12345 pa onda ovo... :)
Ovaj bot nije uradio kao prethodni slucaj sto sam imao, nego je ispisao nekih 200 besmislenih postova zadnjih 15 dana.
Nisam citao te postove detaljno, ali bilo je nekih linkova na koje nisam klikao, ali su vodili na sajtove sa prodajom necega... recimo vencanica...
Pocistio sam te blogove, obrisao admin user, promenio passworde, u media vidim da nema nicega u zadnje 2 godine.
Da li je mogao taj bot iz admin panela nekako da "importuje php skripte"?
Kolega mi kaze da to moze samo sa FTP, da ne moze iz WP-admin...
Ono sto me buni, je neki plugin koji vidim da je instaliran i aktivan, a zove se Login Wall. Sta je on tu radio? :)
I kad sam izguglao prvi rezultat sam dobio sledece na githubu sto je neko dzoni napisao :)
https://gist.github.com/dz0ny/a473db0a8d9a11319e4b
I prvo sto gore pise je "Wordpress Malware List" sto me malo plasi, pored imena autora :). Mozda sam i previse paranoian, al jbg, neznanje me hebe, pa mi je sad sve sumnjivo.
Ono sto me buni, ako je to neki malware, Izgleda nema veze sa ovim napadom, jer vidim na FTP da taj fajl postoji otkad postoji i sajt, dakle od pre 2 godine cak... A ovaj hack je aktivan zadnjih 15 dana... A ono jes... u tom plugin folderu se nalazi samo jedna php skripta. U attachmentu je... Ne znam PHP pa ne znam sta radi ova sktipta
Kad pokusam da pretrazim Wordpress plugin Directory, ne vidim da uopste postoji ovakav plugin i ime autora,
Sta sad pametno mogu da uradim?
[Ovu poruku je menjao CoyoteKG dana 12.02.2016. u 15:59 GMT+1]