Alguém tem experiência com usuários ocultos do WordPress (MultiSite) (possivelmente hackeados)?

3

Eu tenho 2 instalações do WordPress MultiSite (em contas diferentes, mas sob o mesmo revendedor HostGator a / c) e ambas parecem ter sido comprometidas. Eu digo "comprometida" porque os user_logins foram modificados (de alguma forma) e os "usuários ocultos" estão sendo mostrados via WP Admin.

Eu tentei fazer o login nas instalações que estão atualizadas (3.1) MultiSites. Eu uso 1PassWord (com 50 caracteres alfa + numéricos + senhas simbólicas), de modo que as senhas fracas não são o buraco. Meus logins (que eu uso todos os dias) foram rejeitados, então eu sabia que havia problemas.

Eu posso acessar o phpMyAdmin e com certeza os user_logins e user_email foram modificados. E se eu alterá-los via phpMyAdmin, 5 minutos depois eles foram re-editados (agora parece que eu não posso nem fazer isso). * Curiosamente, eu não acho que você pode alterar um nome de usuário no WP Admin (é fantasma e não editável). Isso significa que eles estão invadindo o WP Admin para alterar isso?

Além disso, no Painel do usuário, três usuários são exibidos, mas a contagem (acima do topo) indica que há cinco usuários no total. Super Admin é uma história simular - mostra o registro como "3 Super Admins", mas apenas 1 é exibido. (Verifiquei o código-fonte e usei as ferramentas do Web Dev para tentar encontrar conteúdo oculto nessas páginas de administração, mas sem alegria).

Eu esperava adicionar o novo superadministrador e excluir o superadministrador antigo (depois de portar as postagens para o novo usuário admin do usuário). Mas não consigo excluir o usuário Super Admin original (ID = 1) mesmo depois de criar um novo Super administrador e remover os privilégios de superadministrador do ID = 1. Quando eu clico em "delete" (em hover de User ID = 1) nada acontece; a página simplesmente é atualizada.

O HostGator tem sido surpreendentemente indefeso, possivelmente sem esperança e MUITO lento para lidar com esse assunto. Que está em andamento. Alguém pode me dar algum conselho ou ajuda de alguma forma.

    
por TheLoneCuber 10.03.2011 / 07:33

2 respostas

0

Em primeiro lugar, altero a senha do phpMyAdmin porque acho que eles devem estar recebendo o próximo DB, se isso não funcionar, mas o bullet e fazer uma instalação limpa, mas backup de todo o post e talvez os comentários se você quiser ot.

    
por Benny 10.03.2011 / 09:38
0

Você está usando algum plug-in ou tema pirateado? Já vi isso acontecer em alguns sites de clientes porque eles instalaram um plug-in para o qual não queriam comprar uma licença, vários liberadores de warez colocam código oculto em plug-ins e temas que são executados quando são instalados e cada carregamento subseqüente .

No entanto, existem algumas explorações baseadas em host que afetam o Mediatemple e o Hostgator que eu conheço e que podem causar esse tipo de coisa. É incomum que um usuário mal-intencionado seja criado, geralmente seu site é invadido e redirecionado para um site de farmácia desonesto ou algo assim.

Se eu fosse você, altero o tema do site para o padrão e vejo se as contas deixam de ser recriadas e as alterações são feitas. Então, se esse não é o problema, desative seus plugins um por um até que você pare. Se isso não funcionar, os arquivos principais foram comprometidos e você terá que fazer uma reinstalação.

O código de exploração do Wordpress gosta de se esconder normalmente na pasta wp-includes e, em seguida, alguns níveis abaixo nos diretórios de temas do TinyMCE. Espero que isso tenha ajudado.

PS. Instale o plugin 'Bulletproof Security' e um plugin chamado 'Vaccine', que será uma grande ajuda.

    
por Dwayne Charrington 14.11.2011 / 02:34