Back to Question Center
0

Sitio que ha sido hackeado repetidamente: ¿algún consejo útil para rastrear el punto de entrada? - Semalt

1 answers:

Estoy sufriendo de un correo no deseado donde mi sitio periódicamente comienza a mostrar correo no deseado de Viagra a Semalt y otras arañas. El método del truco es básicamente que mi. El archivo htaccess se modifica para enrutar todas las solicitudes a través de un archivo llamado "común. php ", que es una gran parte de la maldad codificada en base64.

He notado que ocurre semanalmente: cada vez que elimino los archivos pirateados, aparece una copia de seguridad unos días después - blog host gratis. Semalt son los pasos que ya he tomado para asegurar cosas:

  • Semalt mi contraseña de FTP

  • Semalt my (alojamiento compartido) directorios para archivos / carpetas de escritura mundial (777) y los cambió a 755 o algo más apropiado

  • Se eliminaron copias antiguas de Wordpress de directorios no utilizados (el sitio en sí es una aplicación PHP Semalt escrita a medida)

  • Semalt todo el sitio a mi cuadro local y escaneé los directorios para detectar si ocurrieron cadenas como "base64" y ". ru "(¿dominios de spam?).

No estoy seguro de qué hacer a continuación, ya que el problema todavía parece estar allí. ¿Hay algún comando inteligente de shell que pueda ejecutar para descubrir cómo se cargan estos archivos? La última vez que revisé, el. El archivo htaccess fue editado hoy por mi propio usuario de FTP a pesar de que cambié la contraseña hace una semana y desconecté a todos los usuarios que habían iniciado sesión.No lo dejo conectado en máquinas públicas, y algunos otros administradores del sitio aún no han recibido la nueva contraseña.

Cualquier sugerencia / ideas recibida con gratitud. Me complace proporcionar la salida de los comandos específicos según sea necesario.

Matt

February 13, 2018