Жалоба на несанкционированные попытки подключения к постороннему SMTP-серверу

65

hexacell

27 января 2012, 06:29

904

Есть сайт на Wordpress 3.3.1.

Недавно хостер написал:

"На Ваш сайт поступила жалоба на несанкционированные попытки подключения к постороннему SMTP-серверу. Мы вынуждены приостановить работу Вашего аккауна. Готовы предоставить Вам ссылку на скачивание резервной копии Вашего аккаунта для выполнения локальной проверки."

Скачал, нашел в папке uploads (права стояли 777) 4 левых файла:

_cache_b4swbnvh.php

_cache_pjnpsnt4.php

sm5wr3.php

sm6cc0.php

Погуглив выяснил, что это PHP/Spam – sm3 Script. Скрипт всегда имеет названия типа sm3rm1.php, sm3ht4.php etc. Левые файлы убил, права и пароли сменил, комп просканировал CureIt'ом и NOD'ом - никаких вирусов не найдено.

Вопрос: как не допустить повторного заражения, что посоветуете?

456

[umka]

27 января 2012, 08:23

#1

Посоветую не использовать дырявые плагины

Лог в помощь!

68

md5by

27 января 2012, 08:28

#2

Действительно, через дырявые плагины могли быть загружены данные файлы.

65

hexacell

27 января 2012, 08:29

#3

Ок, какие из приведенных ниже попадают под определение "дырявые":

akismet

alakhnors-post-thumb

all-in-one-seo-pack

breadcrumb-navxt

breadcrumb-navxt-widget-plugin

contact-form-7

cyr2lat

cystats

dagon-design-sitemap-generator-plus

exec-php

google-sitemap-generator

kama-easy-admin

kama_spamblock-v1.3.2

ozh-better-feed

post-plugin-library

recent-comments-plugin

related-posts-thumbnails

reveal-ids-for-wp-admin-25

robots-meta

share_buttons_2_7

similar-posts

simple-local-avatars

video-sidebar-widgets

wordpress-backup-to-dropbox

wp-pagenavi

wp-polls

не говорите, что все

68

md5by

27 января 2012, 08:35

#4

hexacell:
Ок, какие из приведенных ниже попадают под определение "дырявые":

akismet
alakhnors-post-thumb
all-in-one-seo-pack
breadcrumb-navxt
breadcrumb-navxt-widget-plugin
contact-form-7
cyr2lat
cystats
dagon-design-sitemap-generator-plus
exec-php
google-sitemap-generator
kama-easy-admin
kama_spamblock-v1.3.2
ozh-better-feed
post-plugin-library
recent-comments-plugin
related-posts-thumbnails
reveal-ids-for-wp-admin-25
robots-meta
share_buttons_2_7
similar-posts
simple-local-avatars
video-sidebar-widgets
wordpress-backup-to-dropbox
wp-pagenavi
wp-polls

не говорите, что все

уязвимость может быть в любом из них ) просто так взять и отнести модуль к дырявому не получится...смотрите в сторону тех модулей которые работают с папкой uploads, хотя не факт!

65

hexacell

27 января 2012, 09:11

#5

Нашел в логе:

83.69.233.128 - - [20/Jan/2012:22:45:31 +0100] "POST /wp-content/uploads/_cache_b4swbnvh.php HTTP/1.1" 200 3710 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0"

83.69.233.128 - - [20/Jan/2012:22:45:34 +0100] "POST /wp-content/uploads/_cache_b4swbnvh.php HTTP/1.1" 200 3710 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0"

83.69.233.128 - - [20/Jan/2012:22:45:35 +0100] "POST /wp-content/uploads/_cache_b4swbnvh.php HTTP/1.1" 200 3768 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0"

83.69.233.128 - - [20/Jan/2012:22:45:37 +0100] "POST /wp-content/uploads/sm6cc0.php HTTP/1.1" 200 276 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0"

чем это может помочь?

1609

SeVlad

27 января 2012, 09:32

#6

hexacell:
чем это может помочь?

это ничем. Это запросы к уже загруженным файлам. А вот как они туда попали - с этим надо разбираться. Может пароль от ФТП уведён, может юзаешь левую сборку ВП, может плаги\темы дырявые.. Вот посмотри на топик - может помогут те рекомендации.

какие из приведенных ниже попадают под определение "дырявые":

как минимум половина плагов нафик не нужна :) 1, 2 ну и дальше в таком же стиле ;)

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Все что нужно знать о DDоS-атаках грамотному менеджеру