Pergunta sobre como corrigir o WordPress do WordPress: arquivos .txt em root/w-content. Malicioso?

Um usuário perguntou ?

Olá amigos,

Acabei de migrar para um novo host sob ataque de malware ‘Baba Yaga’.

Estou no processo de recriar todos os sites do zero. Usei o WP All in One Migration para exportar apenas os posts, mas tive o cuidado de não exportar temas, plugins ou mesmo os arquivos WordPress necessários.

Acabei de navegar na pasta / wp-content e encontrei o seguinte. Existem alguns arquivos .txt que eu suspeito.

O malware poderia de alguma forma se injetar nos novos hots?

(@anevins)

Apoio voluntário do doador WCLDN 2018

1 ano, 10 meses atrás

Pergunte aos seus provedores de hospedagem sobre isso. Você pode ter qualquer arquivo dentro do diretório raiz do WordPress, junto com outros arquivos do WordPress (neste nível básico).

(@techmystressaway)

1 ano, 10 meses atrás

Você viu o que está nos arquivos txt?

Recentemente, vi tentativas de hack para chamar alguns arquivos txt do pastebin.

Se o host antigo foi violado, o hacker pode ter carregado os arquivos txt ou pode ter copiado anteriormente os arquivos de backup enviados pelo hacker para o novo host.

Peter

(@drosehill)

1 ano, 10 meses atrás

Sim.

São todos cabos de linha única.

Por exemplo

«Lm11aHlkaWFmb3VuZGF0aW9uLmluZm8 = | OTAwMC5tdWh5ZGlhZm91bmRhdGlvbi5pbmZv»

(@drosehill)

1 ano, 10 meses atrás

Eu não copiei nada dos diretórios /wp-content, então se eles são maliciosos, o backend é a única explicação possível. E suponho que se as tabelas SQL fossem copiadas, a única coisa que precisava ser injetada

(@drosehill)

1 ano, 10 meses atrás

Mas, novamente, não tenho certeza se eles são maliciosos. Na tentativa anterior houve injeções óbvias (por exemplo, mudanças em /wp-config.php) que deixaram poucas dúvidas. Mas não tenho certeza sobre estes. Eles também não mencionam WordFence.

(@techmystressaway)

1 ano, 10 meses atrás

Tenho certeza que é malicioso.

Se você decodificar base64 “Lm11aHlkaWFmb3VuZGF0aW9uLmluZm8” e “OTAwMC5tdWh5ZGlhZm91bmRhdGlvbi5pbmZv” o texto antes e depois = | separadamente são domínios

Arquivos de texto devem ser inofensivos por si só, mas posso imaginar chamá-los de “algo” como parte do hóquei.

Mas sim, como eles chegaram lá é a grande questão se você apenas copiou a SS e nada mais.

Peter

(@drosehill)

1 ano, 10 meses atrás

Obrigado, Pete. Eu deveria ter pensado em tentar decodificá-los.

A opção All In One que usei parece ter introduzido bancos de dados SQL (adicionei plugins e todas as configurações já estavam lá).

Acho que um deles está injetando um deles (se não for uma tabela de correio, talvez o malware tenha pegado um dos plugins?)

(@techmystressaway)

1 ano, 10 meses atrás

Meu primeiro pensamento é que a vulnerabilidade original ainda estaria lá (você descobriu como o site foi violado pela primeira vez?)

Idealmente, você deseja remover todos os arquivos da sua conta de hospedagem e excluir o banco de dados.

Baixe e carregue novas cópias do núcleo/tema/plugins SS e importe

Eu realmente prefiro o NinjaFirewall e o scanner, ele tem uma curva de aprendizado, mas os documentos são bastante educativos e os logs do firewall dão uma boa ideia do que está sendo testado, bem como proteção de arquivos e alguns ótimos recursos e políticas de firewall gratuitas. versão, você obtém acesso instantâneo às novas regras de firewall em vez de esperar 30 DIAS. (sai de uma caixa de sabão ?

Isto foi útil?

0 / 0

Deixe uma resposta 0

O seu endereço de email não será publicado. Campos obrigatórios são marcados *