Ich habe eine WordPress-Site mit einer .htaccess-Datei und einer Datei namens postfs.php.
Aber wenn ich versuche, sie zu löschen, werden sie erneut geschrieben. Ich habe versucht, alle Dateien auf der Site zu löschen, Berechtigungen zu ändern, den Cron zu überprüfen … aber es gibt nichts zu tun. Diese Dateien erscheinen, sobald ich sie lösche oder bearbeite.
Der Inhalt der Datei ist wie folgt:
Datei .htaccess
<FilesMatch ".(PhP|php5|suspected|phtml|py|exe|php|asp|Php|aspx)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(postfs.php|votes.php|index.php|wjsindex.php|lock666.php|font-editor.php|ms-functions.php|contents.$
Order allow,deny
Allow from all
</FilesMatch>
AddType application/x-httpd-cgi .sh
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>
Wie kann ich die Wiederherstellung dieser Dateien vermeiden?
Ich habe dafür gestimmt, diese Frage zu schließen, da es sich nicht um eine Programmierfrage handelt. Vielmehr geht es darum, eine gehackte WordPress-Seite zu bereinigen.
– Stephen Ostermiller
20. April 2022 um 12:54 Uhr
Nabi Kas
Ich hatte das gleiche Problem und das Antivirus konnte es nicht erkennen. Und auch das Problem der automatischen Erstellung von Dateien war damit nicht verbunden Zeitgesteuerte Aufgabenwie Freunde sagten.
Tatsächlich werden diese Dateien jedes Mal neu erstellt, wenn eine Seite von der Website geöffnet wird.
Ich habe das Problem sorgfältig geprüft und biete die Lösung an.
Das Problem tritt bei beiden auf .htaccess Und index.php.
Zuerst suchen wir nach einem Schlüsselwort im Text der Datei (als root):
Wenn Sie sich den Inhalt dieser gefundenen Bilddateien ansehen, werden Sie feststellen, dass es sich nicht um Bilder handelt und dass sie schädlichen Code enthalten, der genau mit unseren beiden Originaldateien übereinstimmt.
Probe:
Wir suchen nun nach allen vier gefundenen Dateien:
Am Ende der Datei load.php und am Anfang der Datei template-loader.php, sehen Sie den zusätzlichen Code, der entfernt werden muss. (Beginnen mit //ckIIbg)
Um genauer herauszufinden, welche Abschnitte korrekt und welche bösartig sind, ersetzen Sie einfach diese Datei aus einem anderen WordPress, von dem Sie sicher sind, dass es sicher ist und dieselbe Version hat, oder suchen und entfernen Sie die zusätzlichen Abschnitte mit dem diff-Befehl.
Dieser Code erstellt a ./css/index.php Datei und kann gelöscht werden.
Ich habe die obigen Schritte befolgt, aber einige der Indexdateien konnten bösartigen Code in wp-content index.php, Themenordnern, einschleusen
– Ankit Prajapati
4. April 2022 um 12:53 Uhr
@AnkitPrajapati Einige Viren funktionieren anders, und es war eine Idee, Fehler zu beheben, und Sie müssen möglicherweise zusätzliche Schritte unternehmen. Überprüfen Sie auch Ihre Plugins, da diese möglicherweise anfällig sind.
– Nabi KAZ
4. April 2022 um 17:30 Uhr
Ihre gesamte Website regeneriert index.php oder htaccess. Sie müssen Ihren Server neu starten oder alle Prozesse beenden, die für Ihren Server ausgeführt werden
– Ankit Prajapati
11. Mai 2022 um 6:12 Uhr
@NabiK.AZ ist Ihren Schritten gefolgt, behält aber immer noch die infizierte .htaccess-Datei mit demselben Code. Ist es ein Cron-Job-Problem? Bitte helfen auch Sie mit.
Wir hatten vor einer Weile genau den gleichen Hack. Der erste Schritt besteht darin, die zu entschlüsseln index.php Datei, und nach der Dekodierung sehen wir, dass es vier infizierte Bilddateien gibt:
Verwenden Sie die standardmäßigen .htaccess- und index.php-Dateien von WordPress.
Nach Abschluss können Sie Wordfence installieren und die Firewall aktivieren. Vergessen Sie auch nicht, Ihren WordPress-Kern, Ihre Plugins und Themes zu aktualisieren.
Rouhollah talebian
Im ersten Schritt sollten Sie die Shell-Datei finden (Ihr Host-Provider kann dies mit Antisheller tun).
Entfernen Sie unbenutztes Theme und Plugin in der WordPress-Installation
Melden Sie sich im SSH-Bereich an und führen Sie diesen Befehl aus:
find /home/.../wordpres_directory -type f -name ".htaccess" -delete
Öffnen Sie die aktualisierte Seite mit diesem Link: youdomain/tld/wp-admin/update-core.php?action=do-core-reinstall
Wenn Sie das Problem weiterhin sehen, sollten Sie Schritt 2 und 3 ausführen.
Ihr Server benötigt eine Sicherheitskonfiguration. Rufen Sie den Hostanbieter an, um den Server zu sichern.
Was ist das für ein “Antiheller”, von dem Sie sprechen? Haben Sie eine Referenz?
– Peter Mortensen
10. März um 20:28 Uhr
D. Bartenstein
Wenn Dateien nach dem Löschen wieder auftauchen, sollten Sie nach Codezeilen Ausschau halten – oft in der index.php Datei – wo eine Frist oder a TTL (Lebensdauer) wird zusammen mit einer (meistens) sehr langen Zeile mit Base64-Code angegeben. (Diese sind oft an ein paar kürzeren Codezeilen mit Gleichheitszeichen in der Mitte zu erkennen.)
Dies funktioniert so, dass das Zeitlimit / TTL sicherstellt, dass alle Dateien gegen einen Referenzsatz von Dateien gehalten werden, die sich entweder auf einer anderen URL oder im Cache des Webservers befinden, und wenn einer fehlt, wird er sich selbst wieder synchronisieren.
Eine Sache, die Sie tun können, um dies zu lösen, ist das Löschen des Skripts zusammen mit dem Neustart von Apache und PHP / nginx. Dadurch wird der Cache des Webservers geleert.
Danach können Sie die böswilligen Deny-Allow-Regeln und andere Dinge in der .htaccess Dateien und wahrscheinlich andere Dinge, die zwischen den Dateien und Ordnern Ihrer Webanwendung lauern.
Bonusvorschläge, um wirklich zu versuchen, das eigentliche Sicherheitsproblem hier zu lösen:
Stellen Sie immer sicher alle Software, Plugins, Module, Themes etc. aktuell ist. Verpassen Sie keine Sicherheitspatches!
Stellen Sie sicher, dass Sie jedes Passwort für jedes Konto ändern, das Zugriff auf Ihre Webanwendung bietet. (Vergessen Sie nicht die FTP-Konten und Backend-Panels und so).
Versuchen Sie, einen Malware-Scan durchzuführen (wenn Sie ein gemeinsam genutztes Hosting-Paket haben, können Sie dies über ein Sicherheits-Plugin tun, oder bitten Sie Ihr Hosting-Unternehmen, eines auszuführen).
Stellen Sie sicher, dass es keine Benutzer, Plugins oder andere möglicherweise schädliche Komponenten gibt, von denen Sie noch nie gehört und die Sie nicht installiert haben!
Überprüfen Sie zumindest den Stammordner, alle Upload-Ordner und die temporären Ordner auf schädliche Dateien.
Diako Azizi
Ich habe das Problem gelöst.
Erstellen Sie ein neues FTP-Konto und bearbeiten Sie es .htaccess Und index.php mit FileZilla. Dann solltest du löschen wp-admin und laden Sie die neue Datei und den neuen Ordner mit einer neuen Version von WordPress hoch. Auch wp-enthalten. Und dann können Sie.
Kann was (letzter Satz)?
– Peter Mortensen
10. März um 20:17 Uhr
Peter Mortensen
Sie müssen nach jedem suchen .htaccess Datei. Verwenden Sie einen FTP-Client und löschen Sie ihn (in meinem Fall fast 5000). Aktualisieren Sie Plugins, um Sicherheitslücken zu schließen.
Kann was (letzter Satz)?
– Peter Mortensen
10. März um 20:17 Uhr
Peter Mortensen
So habe ich das gelöst:
Isolieren Sie zuerst die Website auf meine IP-Adresse, damit ich alleine arbeiten kann.
ENTFERNT WP installiertaber gehalten wp-Inhalt.
Aktualisiert WP-Handbuch über FTP.
DB reparieren / neu erstellen.
Deaktivieren Sie alle Plugins.
Themen deaktivieren. Die einfachste Möglichkeit besteht darin, den Namen vorübergehend zu ändern Themen Ordner zu _Thema statt Themen.
Aktualisieren Sie alle Plugins.
Aktiv markiert Thema Ordner für geändertes Datum. Ich habe einen Ordner in meinem gefunden inkl Ordner, der eine hatte index.php Und forge.php. Die habe ich entfernt.
Zuletzt habe ich die überprüft Wurzel Ordner erneut und fand einen Ordner namens CSS. Ich habe das auch entfernt, da es auch PHP-Dateien gab, die nicht dazugehörten.
Ich habe dafür gestimmt, diese Frage zu schließen, da es sich nicht um eine Programmierfrage handelt. Vielmehr geht es darum, eine gehackte WordPress-Seite zu bereinigen.
– Stephen Ostermiller
20. April 2022 um 12:54 Uhr