Včera večer jsme dostali e-mail od přítele, že našel nějaké nové uživatele s oprávněními správce na některých svých webech WordPress a požádal nás, abychom to zkontrolovali.
Začali jsme to zkoumat a zdá se, že weby měly něco společného – WP GDPR Compliance .
Vypadá to, že plugin obsahuje zranitelnost a došlo k řadě útoků na stránky používající tento plugin.
Existují různé fáze infekce:
- vytváří se administrátorští uživatelé
- soubory byly upraveny
- přesměrování na ruský web
Doporučujeme zkontrolovat, zda se na vašem webu v poslední době neobjevili t3trollherten “, „ t2trollherten “ nebo „ trollherten
Po vytvoření uživatelů útočníci upravili soubory dalších PHP skriptů (pluginů). Ve složce pluginu Akismet jsme například našli upravené soubory PHP.
Na některých webech jsme našli tuto Pastebinovu URL v wp_options na siteurl.
https://pastebin.com/raw/V8SVyu2P?V tomto okamžiku se web začne rozpadat, objeví se chyby připojení k databázi nebo je váš web přesměrován na jiný web, někdy ruský.
Jak se zotavit z hacku
Pokud zde nejsou žádní uživatelé, měli byste být v pořádku, váš web pravděpodobně nebyl napaden.
Aby se tomu zabránilo, aktualizujte plugin WP GDPR Compliance na nejnovější verzi, vývojáři opravili
V ideálním případě udržujte aktuální všechny pluginy a témata WordPress, abyste předešli možným bezpečnostním problémům, jako je tento.
Pokud tyto uživatele najdete, existuje šance, že web neinfikovali, ale nemůžete to vědět jistě, takže je pravděpodobně nejlepší obnovit ze zálohy a poté aktualizovat plugin WP GDPR Compliance.
Také, pokud máte bezpečnostní plugin, jako je Defender Pro, prohledejte svou instanci WordPress, abyste zjistili, zda je čistá.
Pokud nemůžete obnovit nebo nemáte zálohu, budete muset web vyčistit ručně:
- odstranit uživatele se zlými úmysly z databáze
- odstranit všechny soubory PHP a JS (ponechat pouze wp-content/uploads)
- přeinstalujte WordPress a témata a pluginy, které používáte
Pokud se těmto situacím chcete vyhnout, zvažte přechod ze sdíleného hostingu na odborný hosting WordPress. Žádný z našich spravovaného hostingu WordPress nebyl ovlivněn, všechny dotčené weby byly na sdíleném hostingu.
Neříkám, že je to kvůli hostingu, ale na spravovaném hostingu získáte proaktivní monitorování, spravované aktualizace a tomuto typu situace se můžete vyhnout.
Když jsme zjistili, co se děje, okamžitě jsme aktualizovali plugin na webových stránkách našich klientů, které měly zranitelnou verzi, a provedli jsme automatickou kontrolu.
Máme také klienty, kteří u nás hostují, ale nespravujeme jejich weby, nemáme přístup k jejich instancím WordPress.
Prohledáváme server, abychom našli složku wp-gdpr-compliance, abychom identifikovali klienty, kteří plugin použili. Poslali jsme jim e-mail s upozorněním na bezpečnostní chybu s pokyny, jak zkontrolovat, zda jejich webové stránky nebyly hacknuty.
Pokud i vy potřebujete pomoci, neváhejte se na nás obrátit.
Zanechat odpověď