it-swarm.com.de

Unbekannte Datei, die automatisch im Stammordner erstellt wurde

Ich bin mir nicht sicher, ob es der richtige Ort ist, um eine solche Frage zu stellen. Eine meiner Websites hat Malware. Es wird auf einem 1 & 1 Server gehostet und die Website wird in WordPress 3.3.1 (jetzt auf 3.5 aktualisiert) entwickelt. Ein paar Dinge, die mir aufgefallen sind:

  1. Eine Datei mit dem Namen 1278bd2dc5f89296044af950a96cd9d0, die automatisch im öffentlichen Stammverzeichnis erstellt wird. Wenn ich es lösche, erscheint es in ein paar Minuten wieder.
  2. Diese Datei hat eine durch ein Pipe-Zeichen getrennte IP-Adresse. Alle paar Minuten wird der Liste eine neue IP-Adresse hinzugefügt.
  3. Anfangs werden auch die index.php- und wp-admin/admin.php -Dateien mit niedrigeren Berechtigungen überschrieben. Ich konnte nicht sehen was die haben aber ich konnte sie nur löschen.
  4. Ich habe eine SSH-Verbindung zum Server hergestellt und sehe, dass keine unbekannten Prozesse ausgeführt werden.
  5. Ich habe einen einzelnen FTP-Benutzer. wessen Passwort habe ich vor einiger Zeit geändert.

Kann mir jemand sagen? Was und wo soll ich überprüfen, um dies zu verhindern? Vielleicht ist es ein entfernter Prozess, aber wie kann man ihn finden?

Inhalte zu diesem Zeitpunkt sind:

157,55,32,83 | 199,21,99,106 | 173,255,233,124 |

3
FatalError

Endlich stellte ich fest, dass nur wenige index.php-Dateien einen Eval-Code hatten, mit dem die IP-Adressen der Besucher erstellt und aufgezeichnet wurden. Wenn sich jemand in der gleichen Situation befindet, empfehle ich, dem Fluss zu folgen.

  1. Suchen Sie in Ihrer gesamten Website nach einer der folgenden Zeichenfolgen.

    • eval (base64_decode
    • eval (gzinflate
    • eval (gzuncompress
    • alle oben mit "echo" statt "eval".
  2. Wenn Schritt 1 nicht funktioniert, versuchen Sie eine allgemeinere Suche

    • eval
    • base64_encode
    • str_rot13
    • edoced_46esab
    • gzinflate
    • gzuncompress
  3. Höchstwahrscheinlich enthalten die Ergebnisse, die Sie erhalten, sowohl gute als auch schlechte Codes. Sie müssten dann identifizieren, welches schlecht ist.

  4. Suchen Sie nach dem Code, der unabhängig und nicht lesbar ist und möglicherweise nur eine Zeile enthält
  5. Löschen Sie alle Vorkommen dieses Codes.
  6. Suchen Sie erneut nach dem ähnlichen Code, um sicherzustellen, dass Ihre Website jetzt sauber ist.
  7. Löschen Sie die vom Code generierten Dateien.

Sie können das thisscript verwenden, um zu sehen, was dieser schmutzige Code tut

0
FatalError
  1. Markieren Sie Ihre Website als vorübergehend nicht verfügbar.
  2. Rollback auf ein vorheriges Backup (Sie sollten Backups von 1 & 1 haben), bei dem Sie sicher sind, dass Sie nicht infiziert sind und nicht zu viele Daten verlieren.
  3. Aktualisieren Sie auf das neueste WP (erneut).
  4. Aktualisieren Sie alle Plugins und entfernen Sie unnötige Plugins.
  5. Geh wieder online.
2
CSᵠ

versuchen Sie dieses WP Plugin http://www.wordfence.com/ , obwohl es etwas spät ist, Ihre WP Dateien zu scannen und Korrekturen zu empfehlen. Ich habe meine auch manuell repariert und WordFence weiter laufen lassen.

0
Abhishek Dujari