Un utente ha chiesto
Categoria: Anti-Malware Security and Brute-Force Firewall di WordPress
Domanda: monit.php ritorna

Buongiorno,

Ho appena installato il tuo plugin e ha trovato monit.php e non può essere rimosso.

ha eliminato alcuni altri file che sembrano essere correlati a questo malware.
Ho provato a pulire di nuovo ma senza fortuna.
È stato rilevato che gli elementi evidenziati in rosso sono stati reinfettati. Il codice dannoso è tornato e deve essere ripulito di nuovo. ma ancora non eliminare.

idee?

  • Autore del plugin

    (@scheeeli)

    C’è una distinzione importante da fare prima di sapere come procedere. Hai detto “non è possibile eliminare” l’infezione e l’infezione “ritorna” e dobbiamo sapere qual è.

    Quanto tempo dopo la pulizia hai controllato il file?

    Puoi controllare se questo file è stato pulito subito dopo aver applicato la patch?

    Puoi controllare se la correzione non è riuscita a pulire il file?

    Se la risposta a uno di questi problemi non è chiara, puoi inviarmi uno screenshot dei risultati della scansione, correggere i risultati, la quarantena e i risultati delle statistiche su questo file (in particolare i timestamp modificati e modificati su quel file). Allora posso capire cosa sta realmente succedendo qui.

    (@dkcross)

    @scheeeli monit.php
    aggiungilo ai miei file wp.

    si prega di aggiungere alla tua ripresa

    grazie

    Autore del plugin

    (@scheeeli)

    Questo tag di script è stato inserito nel tuo database o aggiunto a un file sul tuo server?

    Dove hai trovato questo copione?

    Ho bisogno del contesto completo di questo script per scrivere una definizione per esso. Potete inviarmi il file infetto?

    (@birken)

    ciao Eli,

    è la domanda per me o dkcross?

    Autore del plugin

    (@scheeeli)

    Ciao @birken,

    La mia ultima domanda era per @dkcross ma non ho mai ricevuto risposta da te nel mio post precedente. Hai risolto il tuo problema originale o hai anche bisogno di ulteriore aiuto?

    (@kailashaddanki)

    Ho trovato una soluzione per questo, hai bisogno dell’accesso FTP / SSH al tuo server.

    Passo 1. Segui i primi 4 passaggi menzionati in questo collegare: (Assicurati di seguire correttamente i primi 4 passaggi per disinfettare il tuo server e database per codice dannoso, non eliminare ancora nessun altro file).

    2a fase. Vai alla cartella / wp-content / plugins / e trova i seguenti due file nella cartella

    una. monit.php
    b. admin_ips.txt

    Utilizzando un editor di testo, elimina tutto il contenuto da esso e salvalo (assicurati di eliminare tutto il contenuto).

    Passaggio 3. Con SSH: immettere i seguenti comandi per proteggere da scrittura monit.php e admin_ips.txt, che impediranno la ricomparsa di codice dannoso anche dopo l’eliminazione di file e voci di database.

    chattr +i monit.php
    
    chattr +i admin_ips.txt
    

    Con il client FTP: fare clic con il pulsante destro del mouse su monit.php, admin_ips.txt e deselezionare tutti i segni di spunta nella sezione dei permessi di lettura, scrittura ed esecuzione del file per proteggerlo in scrittura. Ha funzionato bene su molti siti in cui sono stato chiamato a risolvere questo problema.

    Autore del plugin

    (@scheeeli)

    Ciao @kailashaddanki,
    Sebbene i passaggi 1 e 2 siano utili quando si pulisce manualmente un tipo specifico di minaccia che il mio plug-in rimuove già automaticamente per questi utenti, non risolve il problema per questo argomento (questa minaccia continua a tornare).

    Nella fase tre, hai descritto un modo per impedire la sovrascrittura di file specifici, ma ciò non solo richiede che l’utente sia in grado di accedere tramite SSH al proprio server, ma anche di essere un superutente su quel server, il che è raro. Questa soluzione non risolve il vero problema qui che è che gli hacker sono in grado di scrivere su questi file e molto probabilmente su qualsiasi file sul sito. Il problema qui suggerisce che esiste una backdoor o un’altra vulnerabilità sfruttabile sul loro sito o server che consente a un utente non autorizzato di scrivere sul proprio file system. Pertanto, questi siti non saranno sicuri fino a quando non verrà scoperta la causa principale di questa infezione.

    Sebbene il mio plug-in abbia già molte varianti note del modello di minaccia che sono generalmente responsabili di questo attacco, ogni giorno vengono scoperte nuove minacce ed exploit e li aggiungo agli aggiornamenti delle definizioni ogni volta che vengono rilevati.

    Nessuna delle persone che hanno pubblicato il loro problema in questo thread ha risposto alle mie domande di follow-up, quindi vorrei presumere che abbiano utilizzato il mio plug-in con gli ultimi aggiornamenti delle definizioni per risolvere la causa principale di questo problema e non ne abbiano bisogno. ulteriore aiuto. Tuttavia, non vedo l’ora di lavorare con chiunque stia lottando per mantenere pulito il proprio sito per scoprire la causa principale in modo da poterlo aggiungere alle mie definizioni. Questo aiuterà chiunque si imbatta nello stesso tipo di infezione persistente in futuro.

    (@sicambrie)

    Ho avuto molti problemi con questo perché continuava a tornare nonostante tutti gli sforzi e le scansioni con più strumenti.
    Ho creato un cron job in cpanel come soluzione alternativa per rilevare e rimuovere monit.php da tutte le tue installazioni WP.

    Nota: Ovviamente, questa NON è una soluzione proattiva, quindi è necessario anche l’uso di misure di sicurezza rigorose.

    trova . -tipo f -name “monit.php” -exec echo {} ; -exec stat {} ; -exec rm -f {} ; | mailx -E -s “minaccia monit.php cancellata” YOUR_EMAIL_ADDRESS

    https://forraskod.blogspot.com/2020/08/monitphp-malware.html

    (@chromechris)

    Seguente. Questo è un vero problema per WordPress. Di recente ho ripulito il mio sito Web, modificato le credenziali e attivato e attivato manualmente Wordfence Pro. Il plug-in monit è tornato.

Hai risolto il tuo problema?

0 / 0

Lascia un commento 0

Il tuo indirizzo email non sarà pubblicato. Required fields are marked *