- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
17 января был взлом с 193.111.9.98, через пару минут с 213.238.9.7 зашли на шелл и заразили все .htaccess. Позже вернулись с 193.111.9.98, потыкали пару раз шелл и без каких-либо указаний свалили. 4 февраля вернулся 193.111.9.98, прочекал наличие шелла и снова свалил.
Первая активность 213.238.9.7 начинается 10 декабря, зашёл с реферером
Далее небольшая активность на одном из сайтов
Следующее появление только 17 числа.
Грепнул второй айпишник, оказалось, что 193.111.9.98 долбился ещё 23, 24, 25, 27 и 28 декабря.
... долбился на все сайты на сервере, лог довольно длинный.
Позже вернулся 17 января
линкфид, мэйллинк и другие биржи ссылок.
все .htaccess в пределах досягаемости содержат следующие перенаправления:
Такие последствия возникают не только на WP, в том смысле, что была целая волна подобного заражения, от которой пострадали/страдают разные движки сайтов/форумов/блогов.
У меня есть подозрение на то, что проблема на сервере.
Собственно сталкиваюсь уже второй раз за полторы недели. Пока что самой высокой версией WP, которую заметил инфицированной, является 3.2.1.
В первую очередь интересуют хостеры, которые находили у своих клиентов сие чудо. Также интересуют версии инфицированных доноров.
Хостеры не ищут у своих клиетов всякие чудо:)
Любую версию необходимо защищать.
- запретом на изменение htaccess , снимаем галочку на разрешение на запись в панели хостера
- Начиная с версии 2.6, WordPress позволяет перемещать файл конфигурации на более высокий уровень. Так как доступ к корневой папке сервера получить труднее, то есть смысл хранить этот системный файл на уровень выше, чем устанавливается при инсталяции программы.
- разрешением входа в папки админ и инклудес только со своего IP
- используйте плагин для защиты от атак
<?php
/*
Plugin Name: blockbadqueries
*/
global $user_ID;
if($user_ID) {
if(!current_user_can('level_10')) {
if (strlen($_SERVER['REQUEST_URI']) > 255 ||
strpos($_SERVER['REQUEST_URI'], "eval(") ||
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
strpos($_SERVER['REQUEST_URI'], "base64")) {
@header("HTTP/1.1 404 Error");
@header("Status: 404 Error");
@header("Connection: Close");
@exit;
}
}
}
?>
Какое отношение советы на запрет перезаписи .htaccess, вынесение wp-config.php на уровень выше и постоянное дёргание обфускаций помогут в борьбе с шеллом, описанным выше? Запрет по IP на /wp-admin/ && /wp-includes/ вообще не имеет смысла.
Хостеры не ищут у своих клиетов всякие чудо
Хостеры имеют практику ставить ClamAV на обход ноды, когда уследить за всеми новыми клиентами и их подозрительным трафиком и содержимым не представляется возможным вручную.
Какое отношение советы на запрет перезаписи .htaccess, вынесение wp-config.php на уровень выше и постоянное дёргание обфускаций помогут в борьбе с шеллом, описанным выше? Запрет по IP на /wp-admin/ && /wp-includes/ вообще не имеет смысла.
Хостеры имеют практику ставить ClamAV на обход ноды, когда уследить за всеми новыми клиентами и их подозрительным трафиком и содержимым не представляется возможным вручную.
Точно, все хостеры так и имеют практику всееее ставить, не смешите мои валенки.
И потом с чего вы решили, что у хакера подозрительный трафик? точно такой же пользователь как и все другие, точно такой же Http запрос.
Да и у нормального хостера, вход по шелл, фтр можно разрешить только себе по своему IP
- для того, чтобы избавиться от вашего шелл, вам необходимо заменить все файлы вашего WP
- при запрете на запись htaccess, не смогли бы изменить и вписать в ваш htaccess перенаправления. Да, ваш файл htaccess необходимо удалить полностью, и создать новый.
- запрет по IP имеет смысл, если вы запретите вход в эти папки всем, кроме своего IP.
Поиском поищите зачем:)
Да и у нормального хостера, вход по шелл, фтр можно разрешить только себе по своему IP
- для того, чтобы избавиться от вашего шелл, вам необходимо заменить все файлы вашего WP
- при запрете на запись htaccess, не смогли бы изменить и вписать в ваш htaccess перенаправления. Да, ваш файл htaccess необходимо удалить полностью, и создать новый.
- запрет по IP имеет смысл, если вы запретите вход в эти папки всем, кроме своего IP.
Вы уверены, что знаете что такое FTP и как работает инсталл плагинов?
Так вот, во-первых, мне не нужно распрягать что такое .htaccess и как удалять папки. Во-вторых, вы не совсем понимаете в каких случаях WP использует FTP для инсталла плагина. В линуксовых ФС есть такая вещь как юзер и группа и есть папка вида /var/www, которой назначен какой-нибудь vasya:vasya. А есть ещё фронтэнд, в данном случае апач, который работает тоже под каким-нибудь www-data:www-data. Так вот если по каким-то причинам у вашего апачика нет возможности записи в папку вашего юзера, а сайтик, напоминаю, работает под апачиком, то WP начинает клянчить FTP доступ. Пнятненько, да?
Пнятненько, да?
Да конечно понятно, на все сто😂
- тема создана для того чтобы поспорить ни о чем
- нахватались поверхностных знаний , которые не можете применить, ибо лечить вас не надо, а вот защитить свой файл htccess от перезаписи увы не сумели
- наивны и ведетесь на ники(ник от слова, а нет имени), начиная читать лекции старому "бородатому" админу
ТС, ничего личного, просто будьте проще...удачи:)
- наивны и ведетесь на ники(ник от слова, а нет имени), начиная читать лекции старому "бородатому" админу
Дорогой бородатый админ, мне глубоко плевать какое имя у моего собеседника. Я колупаюсь с WP начиная с 2008, плагины пишу к этой CMS с 2009, ставлю линьку на свои рабочие ноуты с 2009 тоже, поднимаю сервера вплоть до связок PHP-FPM с 2010. И меня просто нипадецки напрягает, когда неведомые юзеры, считающие свою бороду самой длинной, заваливаются в топик и начинают мне рассказывать что шелл оказываицо имеет структуру плагина, что логи можно потыкать пальцем и найти айпишечки взломщиков, что файлики-то с шеллами снести можно.
Да тыкал я логи до ваших советов, там всего два айпишника, ни один не объясняет полученный доступ к инсталлеру плагинов. А искать ещё однин\два\etc, которые и спёрли пароли\пробили_админку не представляется возможным, потому что между взломом и десятком-другим заходов на страницу логина уже известных вредителей прошло полмесяца и 300М логов.
А что до вас, так я просто охреневаю с того, как можно раздавать советы по защите только части сайта после вторжения без установленной причины. На фтпшку доп. защиту вешаете? Выносите wp-config повыше? Оккупируете .htaccess? Ахриненна. Я уже теку от такого подхода.
Надеюсь, врачом вы не работаете.
ТС, можно попробовать соц. инженерию :)
Хацкер-то рядом живет. С ДЦ ОСУ можно попытаться решить вопрос, кто такой и что делал :) Может натолкнуть на мысли.
ЗЫ: взлом WP беспокоит не меньше вашего
---------- Добавлено 12.02.2012 в 12:44 ----------
213.238.9.7 - это, судя по всему, айпишник из ppp-пула Веги-телеком.
Т.е. скорее всего, динамический.