Meu site foi invadido? [duplicado]

A primeira coisa a fazer é alertar sua empresa de hospedagem. Eles poderão ver os logs aos quais você não tem acesso.

Em segundo lugar: vejo o seu usando o Wordpress. Você precisa:     
-Check e veja se o Wordpress é up2date     
Verifique e certifique-se de que todos os seus Plugins do Wordpress também são up2date

Se alguma das opções acima não for up2date, você precisa verificar e ver se a versão que está sendo executada tem uma vulnerabilidade conhecida. (Verifique o site do software, etc)

Comece a usar seu webroot para encontrar arquivos fora do lugar. Certifique-se de procurar em temp dirs também.

Se for considerado um mau hack, você desejará restaurar a partir de um bom backup conhecido.

Isso deve começar na direção certa.

** Editar: Por favor, ignore / diminua a resposta da XTZ. É reacionário e perigoso, para não mencionar impreciso.

Se eles pudessem editar php.ini , acredito que poderiam adicionar um rodapé a todas as páginas do PHP (o que obviamente você não veria no seu próprio código). Crie um arquivo test.php e veja se ainda acontece.

Eu fui ao site em questão, ele tentou instalar um trojan como:

link

Carregando um arquivo PDF malicioso com JavaScript. Visualizando o código, ele também parece muito semelhante. Provavelmente deve ser evitado a menos que você tenha bloqueado o seu computador. Quanto às soluções, acho que entrar em contato com sua empresa de hospedagem, como Anapologetos disse, seria o primeiro passo essencial.

As páginas do WordPress, como as da maioria dos CMS, não são geradas a partir de um banco de dados?

Se sim, aqui está o pequeno segredo sujo de CMSes de código aberto, PHP e hospedagem compartilhada: em muitos servidores de hospedagem compartilhada, os scripts PHP de todos são executados com os mesmos privilégios (isto é, com o UID e GID do daemon Apache) .

Isso significa que, se o PHP puder ler os seus scripts, ele poderá ler os scripts de todos os outros clientes no servidor. E vice-versa.

Mas, muitos CMSs de código aberto armazenam credenciais de banco de dados de alto privilégio em seus scripts PHP. Drupal faz isso; Joomla faz isso; Eu não olhei para a fonte do WordPress, mas eu ficaria surpreso se não fizesse isso.

Resumindo: É extremamente provável que o acesso totalmente privilegiado ao seu banco de dados do WordPress esteja ao alcance de qualquer outro usuário que compartilhe o servidor com você.

Eu meio que odeio escrever isso em negrito, mas eu sinto como se tivesse batido minha cabeça contra uma parede com esse problema por alguns meses agora, durante o qual eu encontrei duas, possivelmente três aparentemente respeitáveis empresas de hospedagem que usam essa configuração e simplesmente não podem ser incomodados pelo enorme problema de segurança que apresenta.

Qual é o código JavaScript na fonte da sua página depois da tag HTML de fechamento?

Também gostaria de obter a extensão que esconde a sua versão do WordPress da fonte da página, pois mostra-o como uma meta tag ( <meta name="generator" content="WordPress 2.7.1" /> ), por exemplo, posso ver que você está executando o "WordPress 2.7.1" (que é a versão atual: claps :) mas uma vez que for encontrado um expoilt para que as pessoas possam procurá-lo.

Verifique também os outros arquivos que sua instalação do WordPress usa. Eu sei que isso pode inculcar e exigir (não vai aparecer na fonte da página, uma vez que são baseados em PHP) de outros arquivos e eu sei que extenstions / temas também podem fazê-lo se certificar de que estão atualizados.

Verifique também quais extensões e temas estão instalados / ativados e se livra de qualquer um que você não saiba.

Responder a estas perguntas deve ajudá-lo a encontrar a solução.

• Existe um proxy entre você e o servidor?
• Você descartou plug-ins de navegador adicionando algo?
• Você descartou o malware em sua estação de trabalho?
• Você tentou recuperar a página com o telnet / netcat em vez de usar um navegador?
• Este é um servidor que você mantém? Você menciona outros sites, eles também têm esse problema?
• Qual é o conteúdo do iframe?