Od jakiegoś czasu borykam się z dość dziwnym i nowym dla mnie zjawiskiem.
Na samym początku zaniepokoiło mnie pojawienie się na ftp katalogu o nazwie wp_admin z dziwnym plikiem .txt
Dodam, że strona nie korzysta z wordpressa.
Dodatkowo plik index.php również został zmodyfikowany i wstrzyknięty do niego złośliwy kod (jakieś krzaczki na samym początku).
Oczywiście przy takiej procedurze podjęte zostały następujące kroki
- zmiana dostępu do ftp
- całkowite usunięcie panelu CMS (aby wykluczyć włam i atak od strony systemu zarządzania) - choć w logach żadnych podejrzanych akcji logowań nie było.
- usunięcie wszystkich "nieautoryzowanych" plików, które zostały dodane
Niestety mimo tych wszystkich zmian, następnego dnia sytuacja znów się powtórzyła.
Analizując logi z odwiedzin (wywołań witryny) okazało się że są ich dziesiątki tysięcy i co więcej nadal się pojawiają.
Wywołania następują do jakichś plików .shtml - ale takowe na ftp nie istnieją
Tutaj screen jak to wygląda:
Teraz pytanie do was. Czy ktoś miał do czynienia z czymś podobnym?
Jak się przed tym zabezpieczyć/bronić i jak wyeliminować ten proceder dla tej witryny, która obecnie jest atakowana.
Blokada po IP nic nie da. Większość odwołań jest z randomowych adresów IP. Myślałem żeby jakoś zablokować dostęp do plików .shtml - ale nie bardzo wiem jak.
Dodatkowo nie mam pojęcia z czym się aktualnie mierzę. Co to za odwołania i do czego służą?
Za każdą radę, sugestię, czy nawet przekierowanie do jakiegoś pomocnego artykułu będę wdzięczny.