Resultados 1 a 4 de 4
  1. #1
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611

    Sugestão de manutenção em WP invadido

    Pessoal,

    Tem uma revenda no meu servidor que eu importei de um outro host, assim que importei foram localizados + de 30 malware em cada um dos sites

    Praticamente todos os sites infectados, utiliza um tema chamado cadca e não sei se é uma falha do tema, do timthumb ou alguma outra coisa que foi modificada no antigo host que estes sites são constantemente infectados.

    Sendo assim, sempre que recebo alguma aviso do servidor, como este abaixo por exemplo:

    Time: Sat Aug 4 10:43:05 2012 -0300
    File: /dev/shm/.svn
    Reason: Suspicious directory
    Owner: login:login (1525:1524)
    Action: No action taken
    Eu preciso dar uma olhada com atenção

    Atualmente o dono da revenda não tem mais acesso porque já não esta entre nós, e quem assumiu não tem condições de fazer a devida manutenção nos sites.

    Por conta disso, cada vez que o servidor me envia um alerta de ameaça destes sites em particular eu perco um pouco do meu tempo tentando manter eles online, mas confesso que tem sido uma tarefa dificil hehehe

    Então decidi compartilhar com os colegas os procedimentos que eu tenho feito p/ remediar, já adianto FAÇA POR SUA CONTA E RISCO, eu faço isso porque minha unica opção seria suspender a conta (já que não tem ninguém fazendo a manutenção do wp)

    O procedimento que vou explicar abaixo altera arquivos da hospedagem do cliente e e consiste inclusive em remoção de arquivos suspeitos, sendo assim, repito FAÇA POR SUA CONTA E RISCO!

    Então vamos lá

    1 - Acesse o cpanel do cliente com o login e senha dele (se não souber, simplesmente altere a senha no whm)

    2 - Vá direto no phpmyadmin, clique no BD do WP e clique na tabela "users"

    Aqui você vai ter a primeira surpresa, vários usuários criados:



    Sendo assim, poderá remover estes usuários, clicando no checkbox de cada um deles e clicando no botão inferior remover

    3 - Agora vou acessar o WP, mas não tenho a senha, no entanto o BD me mostra o login e o email cadastrado, vou alterar o email para poder acionar a opção para redefinir senha.

    4 - Após redefinir a senha, poderá acessar o wp e fazer as atualizações do gerenciador, plugins e temas.

    5 - Eu gosto de instalar o plugin "WP Security Scan", pois com ele você pode verificar os itens que podem comprometer o wp, recomendo ajustar as permissões do .htacess, alterar o prefixo da tabela do wp (caso estiver com a padrão), e ajustar o login do admin (poderá fazer isso pelo phpmyadmin)

    6 - Crie uma senha para acessar a pasta wp-admin (Opção diretorio protegido por senha no cpanel)

    7 - Remova os arquivos readme.html e license.txt da raiz do wp

    8 - No meu caso, o tema tinha alguns arquivos criptografados, as vezes nem é nada perigoso, o autor do tema fez isso p/ preservar os creditos, poderá utilizar este site p/ descritografar o codigo:

    Base64 Decode and Encode - Online

    9 - Substitua o timthumb do tema (caso tiver a versão antiga dele) e faça a seguinte edição:

    Localize essa linha:

    $allowedSites = array(
    'flickr.com',
    'picasa.com',
    'img.youtube.com',
    );
    E substitua por isso:

    $allowedSites = array();
    10 - Após fazer todo o prcedimento acima, faça uma verificação neste site:

    Sucuri SiteCheck - Free Website Malware Scanner

    No meu caso, o resultado foi:



    Garimpei no google e substitui o arquivo por um que tem neste site:

    jQuery lightbox for images, videos, YouTube, iframes, ajax | St

    Refiz a varredura e o resultado agora foi este:



    Bom, como não sou o adm do site, fiz isso apenas por causa das circunstancias que foge um pouco da normalidade.

    Tenho certeza que existem outras alternativas, umas mais simples, acho que outras mais complexas, seria legal se os demais colegas postasse sugestões / dicas e até alternativas do procedimento que fiz acima.

    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  2. #2
    Moderador
    Data de Ingresso
    Oct 2010
    Localização
    Rio de Janeiro
    Posts
    2,679
    Rodar o maldet constantemente?

  3. #3
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    excelente post chuva, obrigado por compartilhar conosco
    Siga-nos em nosso twitter: @wht_brasil

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611
    Citação Postado originalmente por cresci Ver Post
    Rodar o maldet constantemente?
    Por padrão ele roda toda madrugada, verifica todas as contas.

    Mas quando recebo algum email de atividade suspeita em conta, eu costumo rodar na conta do cliente pra ver se foi infectado após a verificação diaria que ocorre geralmente as 2hrs da madruga
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •