Um site que hospedo foi hackeado recentemente. A página de índice teve o seguinte código adicionado na parte inferior (logo acima da tag body de fechamento):
<script language="javascript">document.write('<div style="font-family:Tahoma,Arial,Helvetica,sans-serif;font-size:12px;overflow:hidden;color:#FF0000;height:' + (325 * 3 - 974) + 'px;width:' + (18 * 786 - 14147) + 'px;font-weight:bold;margin-top:0px;margin-bottom:0px;">'); </script>
Seguido pela...
Muitas e muitas tags indo para sites com spam...
Nosso servidor tem o suphp instalado, então não acho que isso possa ter acontecido em outra conta. Esta conta possui o Wordpress instalado, então esse pode ser o problema.
Alguma dica sobre para onde ir a partir daqui?
Obrigado!
Responder1
Altere seu login padrão do Wordpress e MySQLnomese senhas. Ao usar os nomes padrão, você deu aos hackers metade do quebra-cabeça de credenciais.
Certifique-se de que seus serviços (PHP, WP, MySQL) estejam todos atualizados.
Verifique plug-ins de terceiros em busca de vulnerabilidades e atualizações conhecidas (isso inclui bibliotecas javascript e plug-ins)
Isso é um bom começo. Ah, e você pode querer começar a observar seus registros um pouco mais de perto para ver se consegue identificar como isso acontecerá se acontecer novamente.
Responder2
Seus logs provavelmente estão armazenados em /var/log/apache2. Comece a pesquisar os logs de acesso. Você pode fazer isso manualmente usando grep ou usar uma ferramenta comoapache-scalppara pesquisar seus logs em busca de explorações comuns.
Responder3
Eu sugiro instalar o módulo mod_security do Apache:http://www.modsecurity.org/.
Além disso, certifique-se de que o código do seu aplicativo não seja suscetível aAtaques de injeção SQL.
Verifique também as regras do firewall e certifique-se de que apenas a porta 80 esteja exposta ao público.