Posle čišćenja fajlova i updatea pluginova i WP-a, opet se vraćalo. Rešeno je izmenom svih FTP i ostalih lozinki, kao i onesposobljavanjem jednog fajla u jednoj temi koja je u sebi sadržala i online prodavnicu (jedan njen fajl za upload koji je loše kodiran je iskorišćen za inficiranje).

Problema sa bazom nije bilo, napadi su se odnosili isključivo na fajlove, toko jednog od napada su čak i neki JS fajlovi bili zaraženi. Inače, uglavnom napada php fajlove koji se nalaze u home folderu sajta (login.php obavezno). Mada, nije loše i da uradiš neki query na bazi, čisto da budeš siguran da je čista.

malware na WP stranici

 

Evo ti par nekih saveta iz mog iskustva kako to da očistiš i da sprečiš da do toga dolazi:

  • Promeni sve lozinke koje koristiš.
  • Umesto “običnog”, nezaštoćenog FTP protokola, pri povezivanju koristi SFTP ili neku drguu podržanu verziju koja podatke ne šalje ne zaštićene tako da može bilo ko da ih “presretne”.
  • Malo ljudi zna ovo, ali FileZilla sve FTP podatke (i lozinke) čuva u plain text formatu u xml fajlu, dakle potpuno nezaštićene, tako da su veoma lako dostupne raznim napastima. Zbog ovoga sam ja (a i savetovao sam klijente) da pređu na programe poput WinSCP, koji šifruje sve sačuvane lozinke (koristi se i master password), pa i ako budu ukradene, napadač neće imati puno koristi od njih (naravno, može ih provaliti, ali to bi potrajalo). Možeš i FileZillu nekako nakalemiti da bezbednije čuva lozinke, ima uputstava na internetu (mada se meni nije to radilo).
  • Ako imaš SSH pristup serveru (ako je to shared server, veorvatno nemaš, ali eto savet može pomoći nekom drugom sa ovim problemom), putem Putty možes sledećom komandom naći sve zaražene fajlove: grep -r -H -l “d93065” *

 

Ovo će ti izlistati sve fajlove koji sadrže “d93065” (ovo sam stavio jer vidim da se ponavlja u svim kodovima, možeš staviti i nešto drugo).

  • U slučaju da je to shared server, možeš instalirati grepWin, skinuti fajlove sa servera i na svom računaru potražiti u njima delove malicioznog koda (desni klik na folder sa fajlovima, pa odaberi grepWin i zatim unesi pojam za pretragu fajlova).
  • Ako tvoj hosting provajder ima neki antivirus (često je to ClamWin), možeš ga pronaći u CPanel i skenirati sajt sa njim, za svaki slučaj.
  • Naravno, uvjeri se i da je tvoj sistem, to jest računar čist i nema nekih napasti (sken sa Avastom, MBAM…).
  • Mozete skenirati website i preko online programa https://sitecheck.sucuri.net/