- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Столкнулся с интересным и пока непонятным взломом сайтов на WP.
У меня есть несколько блогов. На некоторых из них в некоторых записях вчера обнаружил появление следующего текста:
Зачем - понятно. Кто-то что-то раскручивает.
Вопрос - как?
Версии WP - 3.2.1
Левые ссылки, судя по всему, вписаны напрямую в БД, т.к. даты изменения файлов WP обычные, к php файлам ничего не дописано, скриптов левых не обнаружено.
Сломали вход в админку - возможно всякое, конечно, но странно.
Плагинов стоит по минимуму, сто раз проверенные. Объединяет блоги только одно - один и тот же хостинг.
Теряюсь в догадках. Что бы это могло быть, и главное, как найти вредителей и закрыть дыру.
Пароли, понятное дело, на все уже поменял - но тем не менее. Хостер, к сожалению, невразумительный, логи толком не хранит, помогать не собирается.
Возможно, кто-то сталкивался с подобным или может что посоветовать?
А к логам вебсервера есть доступ? Если подобрали пароль в админку по access.log апача можно узнать IP.
К сожалению, тупой хостер хранит логи лишь за последние два дня - по крайней мере по его утверждениям. А когда именно произошла вставка кода, точно неизвестно.
Товарищи работают аккуратно, попортили только по 3 записи с каждого блога, причем не новые, а постарее, ссылки спрятали, логины-пароли не меняли.
В имеющихся логах последних двух дней никакой подозрительной активности не видно.
Какой хостинг?
А то вдруг тоже проверить и свои сайты не помешает.
У меня тоже было такое на нескольких сайтиках, особой ценности не представляют. Логи сохранились с августа, сейчас пробую разобраться в одном логе для сайта с одной записью.
Но я одновременно на этих сайтах обнаружил дорвеи, о которых писали на
http://blog.unmaskparasites.com/2011/08/05/hacked-wordpress-blogs-poison-google-images/
http://blog.unmaskparasites.com/2011/08/14/following-the-black-hat-seo-traces/
Это когда создаются тысячи страниц типа: example.eu/?tnj=57720.php3
Как это убить, пока не понял. 😕 Удалил все файлы, заново поставил вордпресс. Но в гуглопанельке вебмастера все равно показывается, что robots.txt заблокировал несколько тысяч левых страниц вроде example.eu/?tnj=57720.php3
И на сайт десятки тысяч ссылок с других взломанных сайтов. Где-то засел вражеский скрипт.
Добавлено:
В логе есть подозрительный фрагмент:
46.182.105.230 - - [05/Sep/2011:04:27:53 +0400] "POST / HTTP/1.0" 200 47421 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.5.1.0)"
46.182.105.230 - - [05/Sep/2011:04:27:55 +0400] "POST / HTTP/1.0" 200 211 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.7) Gecko/20050414 Firefox/1.0.3"
46.182.105.230 - - [05/Sep/2011:04:27:55 +0400] "POST / HTTP/1.0" 200 896 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF; .NET CLR 1.1.4322)"
46.182.105.230 - - [05/Sep/2011:05:48:31 +0400] "POST / HTTP/1.0" 200 553 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461; .NET CLR 1.1.4322)"
46.182.105.230 - - [05/Sep/2011:05:58:31 +0400] "POST / HTTP/1.0" 200 553 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.7.5) Gecko/20041118 Firefox/1.0"
46.182.105.230 - - [05/Sep/2011:08:02:02 +0400] "POST / HTTP/1.0" 200 211 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Arcor 5.003; .NET CLR 1.1.4322)"
178.126.41.115 - - [05/Sep/2011:08:46:48 +0400] "GET / HTTP/1.0" 404 1734 "-" "Xenu Link Sleuth/1.3.8"
178.126.41.115 - - [05/Sep/2011:08:46:50 +0400] "GET / HTTP/1.0" 404 1734 "-" "Xenu Link Sleuth/1.3.8"
178.126.41.115 - - [05/Sep/2011:08:46:50 +0400] "GET / HTTP/1.0" 404 1734 "-" "Xenu Link Sleuth/1.3.8"
Поиском по ip 46.182.105.230 находятся упоминания здесь:
http://www.phpbbguru.net/community/topic34197.html
там речь о взломе форума
плагин для Wordpress для зашиты от взлома логина admin по IP.
http://fhf.ofru.ru/25873608
может поможет
Странно, что логи хранятся только за два дня... Не хочу клеветать, а может хостер всему виной?
Столкнулся с интересным и пока непонятным взломом сайтов на WP.
У меня есть несколько блогов. На некоторых из них в некоторых записях вчера обнаружил появление следующего текста:
Зачем - понятно. Кто-то что-то раскручивает.
Вопрос - как?
Версии WP - 3.2.1
Левые ссылки, судя по всему, вписаны напрямую в БД, т.к. даты изменения файлов WP обычные, к php файлам ничего не дописано, скриптов левых не обнаружено.
Сломали вход в админку - возможно всякое, конечно, но странно.
Плагинов стоит по минимуму, сто раз проверенные. Объединяет блоги только одно - один и тот же хостинг.
Теряюсь в догадках. Что бы это могло быть, и главное, как найти вредителей и закрыть дыру.
Пароли, понятное дело, на все уже поменял - но тем не менее. Хостер, к сожалению, невразумительный, логи толком не хранит, помогать не собирается.
Возможно, кто-то сталкивался с подобным или может что посоветовать?
Не так давно было сообщение об уязвимости в timthumb.php. Вы на него реагировали? Если нет, то стоит закрыть уязвимость.
Не так давно было сообщение об уязвимости в timthumb.php. Вы на него реагировали? Если нет, то стоит закрыть уязвимость.
Спасибо за совет!
тоже как-то ломают один и тот же сайт. Похоже, через плагин какой-то.
Заливают в индексные файлы и файлы плагина скрипт с ссылкой на сайт.
Замечаешь это только тогда, когда яндекс и гугл помечают сайт как вредоносные, и практически перестает идти трафик.
та же фигня с вордпрессами постоянно.
оп - вылетел из индекса, начинаешь смотреть - левые ссылки в коде.
не успел залататься - жди гостей.
старый сайтик как вылетел когда-то - до си пор не вернулся :(
вот за такую дырявость меня вордпресс и раздражает.