Włamanie na stronę - proszę o pomoc

[ElPaso]

Witam,

Mam swojego bloga na WP o turystyce www.krakowskieokolice.pl . Dziś dzwoni do mnie znajomy i mówi, że coś dziwnego się dzieje jak wchodzi na tą stronę. U siebie parze i wszystko ok. Jednak jak wyczyściłem cache itp. Okazało się że strona jest chyba gdzieś przekierowywana. Na jakiś serwis .ru .

Wszedłem do FTP i w pliku htcacces nie widzę nic dziwnego. Zacząłem sprawdzać datę modyfikacji. Usunąłem z mojej templatki jakieś bardzo podejrzane nowe pliki, które pojawiły się wczoraj i dziś. Myślałem że to pomogło ale nadal jak próbuję wejść na stronę to mam komunikat że strona jest niebezpieczna...

Proszę o pomoc - co robić? Gdzie może być zaszyte przekierowanie itp. Inna strona na tym koncie działa, ale też jest zgłoszona jako potencjalnie niebezpieczna aczkolwiek myślę, że to przez tamtą.

[VMLine.PL]

Jeśli masz zapamiętane hasła w TotalCommander bądź innym kliencie ftp - usuń je i zapamiętaj.
Ponadto przeskanuj swój PC programem antywirusowym. Również doklejony mógł zostać kod w plikach .html oraz .php - sprawdź to i usuń.

[KowR]

Kilka podstawowych pytań.
1. Gdzie hostujesz swój serwis? (nazwa firmy)
2. Jaki to jest typ konta? (shared, VPS, dedykowane, reseller)
3. Jakiego klienta FTP używasz? (np. smartftp)
4. W jaki sposób łączysz się z serwerem? (w jaki sposób)
5. Czy masz na komputerze złośliwe oprogramowanie?
6. Czy Twoje hasła są "trudne" tzn. składają się z cyfr, znaków specjalnych i liter? np. ytre#!%&][123DWA

[ElPaso]

Kilka podstawowych pytań.
1. Gdzie hostujesz swój serwis? (nazwa firmy)
2. Jaki to jest typ konta? (shared, VPS, dedykowane, reseller)
3. Jakiego klienta FTP używasz? (np. smartftp)
4. W jaki sposób łączysz się z serwerem? (w jaki sposób)
5. Czy masz na komputerze złośliwe oprogramowanie?
6. Czy Twoje hasła są "trudne" tzn. składają się z cyfr, znaków specjalnych i liter? np. ytre#!%&][123DWA

1. justhost.com
2. shared
3. Total commandera, mój błąd. Dziś zmieniłem na filezille. Zmieniłem też hasła do serwera (do bazy, ftp i panelu)
4. Z serwerem łącze się przez FTP.
5. Raczej nie mam, mam najnowszego kasperskiego i generalnie dbam o to, ale dziś puszcze w nocy skan.
6. hasło było trudne, nie ze słownika.

Dodam że ten serwis http://www.unmaskparasites.com/ mówi wprost że mam ukryte przekierowanie na tej stronie co podałem i na innych z tego serwera.

Przed chwilą metodycznie sprawdziłem WSZYTSKIE pliki na serwerze. Wszelkie z modyfikacją sprzed 1 - 2 dni dokładnie obejrzałem. Wywaliłem pare podejrzanych. Reszta nie było modyfikowana od miesiąca.

Ktoś ma jakiś pomysł co dalej? Może to się gdzieś w bazie danych zalęgło?

[Pedro84]

Stawiam na TC mimo wszystko. Ile ja się syfu nausuwałem, który przez ten dziurdamer się wkradł.

[VMLine.PL]

Dokładnie, to TC, a dokładniej zapamiętane hasła...

[ElPaso]

Bardzo możliwe że to TC.

Pytanie gdzie może być zaszyte to całe przekierowanie?

[Pedro84]

Musisz przejrzeć wszystkie pliki, index.php, pliki szablonu.

[ElPaso]

Musisz przejrzeć wszystkie pliki, index.php, pliki szablonu.

Ok, ale czy mam patrzeć tylko na te zmodyfikowane w ostatnim czasie? Czy na wszytskie, nawet te modyfikowane 3 miesiące temu. Problem na 100% pojawił się dziś.

Dostałem logi z FTP, w ciągu ostatniego roku nie logowął się przez FTP nikt spoza mojego IP (mam stałe). Czy atak mógł nastąpić w inny sposób niż FTP ? Czy ta informacja może mi w czymś pomów w trakcie poszukiwań?

[VMLine.PL]

Mógł, np. przez dziurawy skrypt.