[請益] Wordpress網站被攻擊

作者: mousn (生命只是個假象)   2016-04-05 00:36:00
第一次發文,想請教一下
之前公司網站用PHP + Wrodpress架站
沒有即時更新插件,被Hack植入Malware
然後就被Chrome block掉....
Server是跟戰X策租用,linux架構
主網域外加數個子網域 (已離職同事+外包)
已試過的處理方式如下
1.
參考http://goo.gl/D8KH4F
使用此網站提供的php file to Scan all data
透過VirusTotal Scan還是有問題
2.延續上方
載回Server端主網域檔案,使用掃毒軟體(Dr.web Cureit)
移除有疑慮的48個php file
VirusTotal Scan一樣顯示有Malware問題
3.使用Wordefence插件掃檔
有二個檔案被掃出有問題 wp-conifg.php wp-includes/version.php
還在研究要怎麼刪除有問題的code
4.另參考http://goo.gl/O8GDrs
但該PHP檔執行後掃不出任何有疑慮的檔案
網站是前員工架的,有詢問過但不願意提供任何協助
外包商也僅願意提供原始檔
目前已先設白名單,限制IP可進後台,更改Wordpress的相關檔案
經測試已阻斷攻擊 (之前砍掉有問題檔案 & code後,又立刻被新增)
另請戰X策Scan Server上的檔案,除一資料夾內的.JS檔有問題外,多數zip檔都有木馬
現打算捨棄主網域的網站,嘗試救外包的幾個子網域
主網域的index之後會掛一個自動轉址到其它網域的檔
不過爆肝一週後,進度還是很悲劇 Orz...
想請教各位先輩,是否能提供一些意見 or 解決方案
主網域如果另放一個自動轉址的index.htm,Google那邊送審會過嗎?
若被hack,root內的其他目錄是否也會影響到Google的判定?
無論主 / 子網域的檔案,只要有問題,都會被VirusTotal判定有問題嗎?
作者: kenwufederer (Nash)   2016-04-05 01:04:00
直接重建一個應該最理想
作者: cem236321 (ming)   2016-04-05 01:22:00
重建+1
作者: mousn (生命只是個假象)   2016-04-05 23:18:00
已跟老闆討論,外包的二個網站要救,其他可捨棄畢竟三個網站+一些活動宣傳的小Page,卻有6W多個檔案...一點都不是正常的情況啊啊啊啊!!!現在打算在主網址設自動轉址到其他網頁,子網域掃毒後重上因為是眼下最快的解決方案了...明天開始有新案子要趕幾乎抽不出時間再跟hack PK了...只是不知道這樣做能不能過Google審查這關...到現在還是抓不到被影響到的code...大家真的要好好備份 囧
作者: kenwufederer (Nash)   2016-04-06 01:26:00
你們有自己寫功能嗎?不然直接重建,備份資料庫過去就可以了吧
作者: chang0206 (Eric Chang)   2016-04-06 09:10:00
先整包tar下來/把要舊的網站資料匯出/開一個新的空間舊資料匯入 再來慢慢研究那些被駭的是說 你們有在接CASE,居然沒有做每日備份?

Links booklink

Contact Us: admin [ a t ] ucptt.com