Je kunt het beste contact opnemen met je hosting provider.
Waarschijnlijk hebben zij een malware scanner, en gaat er iets mis.
Thread starter
dirkh
(@dirkh)
Hallo,
Dit is de reaktie van mijn provider:
Wij hebben geen malware scanner draaien op uw webserver.
Helaas hebben we geen afdeling die inhoudelijk scripts of toepassingen van uw website kunnen bekijken.
Dit omdat wij de software niet hebben ontwikkeld.
Indien u problemen blijft houden verzoeken we u contact op te nemen met uw
software leverancier om het probleem verder te analyseren.
Kan ik hier iets mee?
Nee helemaal niets. Het verdwijnen van de bestanden is niet iets wat WordPress zelf doet. Ik vermoed daarom toch dat je iets malicious op je website hebt. Welke malware scanner heb je gebruikt? De meeste checken alleen de site zelf op code, maar niet de daadwerkelijke PHP code.
Thread starter
dirkh
(@dirkh)
Ik heb verschillende laten checken nml Sucuri Security en de Quttera WordPress Web Malware Scanner. Welke scanner adviseren jullie?
Ik gebruik meestal WordFence. Deze vindt gratis al veel problemen.
Zijn het bepaalde tijdstippen dat die bestanden verdwijnen? Je kan dit proberen te matchen met logregels in je apache access log. Vaak zie je dan wel een POST op een bestand die er niet thuis hoort.
Thread starter
dirkh
(@dirkh)
Hallo,
Een scan met WordPence levert alleen een melding op van “Unknown WordPress core version: 4.6.1”
Ik vermoed dat de files worden verwijderd tussen 0.00 uur en 7.00 uur. Wanneer ik in de error log kijk zie ik de volgende melding:
“POST /smilde/wp-cron.php?doing_wp_cron=1473200429.2319591045379638671875 HTTP/1.1” 200 170 “http://www.dirkhuizinga.nl/smilde/wp-cron.php?doing_wp_cron=1473200429.2319591045379638671875” “WordPress/4.6; http://www.dirkhuizinga.nl/smilde”
Hm een post op de cron is niet per se verdacht, maar het xou hem kunnen zijn. Je kan met ren plugin alle cron commandos bekijken. Misschien dat daar iets verdachts bij staat?
Als je nou een statuscake/hyperspin op je url zet weer je het tijdstip exact en dan weet je of het die cron is.
Thread starter
dirkh
(@dirkh)
Voor mijn gevoel ben ik een stukje dichter bij de oplossing al begrijp ik niet wat ik nu precies aan het doen ben. Wanneer ik wp-settings aanpas en de regel ‘require( ABSPATH . WPINC . ‘/embed.php’ );’eruit haal blijft de site nu wel zichtbaar voor de bezoekers.
Echter iedere nacht verdwijnen nog wel de files wp-admin/includes/media.php, /wp-admin/includes/misc.php en /wp-includes/embed.php. Hierdoor kom ik niet op mijn admin pagina. Ik moet eerst deze files weer uploaden wil ik bij mijn admin pagina komen.
Het blijft voor mij een raar fenomeen waarbij ik denk dat dit komt door de update naar wp 6.4.1 maar volgens mij ben ik de enige die er last van heb. Ik kom geen soortgelijke meldingen tegen.
Kan iemand mij vertellen wat de regel ‘require( ABSPATH . WPINC . ‘/embed.php’ ); in wp-settings doet en waarom deze regel mijn site onzichtbaar maakt?
Thread starter
dirkh
(@dirkh)
Hallo,
Met behulp van hyperspin wordt zichtbaar dat zo rond 04.00 uur de 4 site plat gaan en dus de bestanden worden gedelete. Een patroon wordt niet zichtbaar, eerst was het om 4.15 uur, daarna 4.21 uur en de volgende nacht om 4.29 uur. Rond die tijd worden er geen verdachte activiteiten waargenomen. Ik blijf voor een raadsel staan waarom iedere nacht de bestanden verdwenen zijn.