Un usuario preguntó 👇
Notificación de posible nuevo hockey / malware:
Nuestro sitio se reinició hoy para mostrar la página de instalación.
En el directorio raíz de wordpress apareció un nuevo archivo, «temp-crawl.php» con el código:
[ Please don’t post hacking code. Thanks.]
Esto parece tomar el contenido de los parámetros de la URL del proveedor ‘q’, escribirlos en un nuevo archivo «tempcrawl», ejecutar ese archivo y luego eliminarlo.
Eliminé temp-crawl.php pero no sé dónde estaba la vulnerabilidad.
Actualmente, no hay resultados de búsqueda de Google para «temp-crawl.php», por lo que puede ser nuevo (
Este tema fue modificado hace 2 años, 3 meses por.
(@tp)
Hace 2 años, 3 meses
Siga esta guía con atención. Una vez que haya terminado, es posible que desee implementar algunas (si no todas) de las medidas de seguridad recomendadas.
Si no puede limpiar con éxito su (s) sitio (s), existen organizaciones acreditadas que pueden limpiar su sitio por usted. Afuera, algunos nombres que me vienen a la mente son Sucuri y Wordfence.
(@dennishermannsen)
Hace 2 años, 3 meses
Tenemos alrededor de 10 clientes que tienen lo mismo. Todos se dieron cuenta en las últimas horas.
Este es feo.
(@quttera)
Hace 2 años, 3 meses
Intente investigar el registro de acceso de un sitio web para encontrar una IP utilizada para acceder a temp-crawl.php.
Una investigación de todas las solicitudes HTTP anteriores de esta IP puede haberse centrado en un archivo que fue explotado originalmente o donde este código arrojó una vulnerabilidad.
(@dennishermannsen)
Hace 2 años, 3 meses
Es un duplicado: https://db.threatpress.com/vulnerability/duplicator/wordpress-duplicator-plugin-1-2-40-arbitrary-code-execution-vulnerability
(@te_taipo)
Hace 2 años, 3 meses
@quttera ¿Puede enumerar los plugins de terceros que está utilizando?
(@ jillctc11)
Hace 2 años, 3 meses
Solo me ocupé de esto … El archivo wp-config se renombró como bad.wp-config, lo renombré y obtuve acceso a él. La configuración de la base de datos cambió y el nombre de usuario y la contraseña de la base de datos ahora caducaron en «FCK» y el. Algunos archivos (wp-crawl.php y wp-crawl.php.1 e installer.log.txt y wp-snapshots) fueron visibles esta mañana a las 8:52 am. Suíomh Sitio borrado, usuarios restablecidos, claves de sal cambiadas, etc.…
Esta respuesta fue modificada hace 2 años, 3 meses por. Motivo: código de ejemplo eliminado
(@quttera)
Hace 2 años, 3 meses
@te_taipo aquí está la lista de plugins que estamos usando en nuestra configuración.
Estos no son sitios web activos y se utilizan principalmente para explotar la verificación y prueba / regresión de nuestro plugin de seguridad (quttera-web-malware-scanner). No estoy seguro de cómo será útil esta lista … Pero esto es para ti:
ajax-search-lite akismet todo-en-uno-este-paquete bbpress buddypress contact-form-7 duplicado google-analytics-dashboard-for-wp google-analytics-for-wordpress jetpack ml-slide quttera-web-malware-scanner regenerar miniaturas simple-social-theme-theme-check-Updateraftplus w3-total-cache woocommerce wp-crontrol wp-slimstat wp-super-cache yeloni-free-exit-popup
(@te_taipo)
Hace 2 años, 3 meses
La pregunta parece estar duplicada. ¿Están todos estos plugins en las últimas versiones, especialmente duplicados?
(@niagarafish)
Hace 2 años, 3 meses
Gracias @dennishermannsen por sugerir la vulnerabilidad en el plugin Duplicator.
Volví a poner nuestro sitio en línea con solo seguir los pasos del asistente de configuración de WP y usar las credenciales para la misma base de datos (existente). Luego, el programa de instalación dijo «… ya está instalado …» y el sitio volvió a ser público. Solo hay una solución temporal y haré una desinstalación completa de WP sin el plugin Duplicator para limpiarlo.
(@wizzard_)
Hace 2 años, 3 meses
Si no está utilizando Duplicator de forma activa, le recomendaría eliminarlo y también eliminar todos los archivos que ha creado. Si lo necesita más tarde, siempre puede volver a instalar el plugin.
(@te_taipo)
Hace 2 años, 3 meses
Después de hojear algo del código del instalador, suelo estar de acuerdo en que no es seguro quedarse en un sitio web.
(@ calvin_42)
Hace 2 años, 3 meses
FYI, el mismo problema ocurrió en mi sitio web.
El script fue utilizado por el archivo php cargado en wp-content / uploads que todas las publicaciones incluyen un script JS a través de una consulta MySQL.
(@tp)
Hace 2 años, 2 meses
@ dirac3000,
Por favor, no salte a otros temas. Si la solución de problemas ya publicada no supuso ninguna diferencia para usted, de acuerdo con la Bienvenida del foro, publique su propio tema.
Tu publicación ha sido archivada.
(@ dirac3000)
Hace 2 años, 2 meses
Tuve un problema similar con el sitio web de un amigo. Terminé escribiendo un script de Python para limpiar la mayoría de los archivos dañados por el malware. Publiqué el guión en github, por miedo a que alguien lo necesite.
¿Solucionó tu problema??
0 / 0