Спрашиваем и отвечаем по Wordpress-4

Теперь вроде задача ясна, но.. сходу не подскажу, надо думать, а у меня сегодня не тот день ;)..

Мб кто-то другой поможет. Задачка ж интересная (такие в топике большая редкость) :)

вот здесь www.simplecoding.org/wordpress-vybor-sluchajnyx-postov.html#comment-791772688 мне подсказали как можно сделать

но мне не хватает знания php как это всё правильно сделать

Что это за domen.ru/wp-content/uploads/2012/07/thumb.php?p=1234 ?

Сама страница похожа на одну из тех, что есть на domen.ru, но кодировка кое-где не так и есть пара вшитых ссылок.

Ломают?

Как избавиться? Ну и закрыть на будущее.

Спасибо.

Зы: в папке uploads/2012/07/ лежал таки thumb.php, удалил, страница пропала. На папке права 777, видимо надо бы 755?

Добрый день! Вопрос по плагину wordTube

Поставил последнюю версию, но не могу в разделе "описание" писать на русском языке - при сохранении выдает знаки вопроса. Как лечить ?

Спасибо!

Оч. похоже. В uploads не может быть пхп файлов, если только самостоятельно загруженных .

Рекомендую запретить исполнение пхп в uploads и ниже. С пом. хатцесса или настроек хостинга.

http://codex.wordpress.org/%D0%A7%D0%90%D0%92%D0%9E/%D0%9F%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B_%D1%81_%D0%BA%D0%BE%D0%B4%D0%B8%D1%80%D0%BE%D0%B2%D0%BA%D0%BE%D0%B9

http://codex.wordpress.org/%D0%A7%D0%90%D0%92%D0%9E/%D0%97%D0%BD%D0%B0%D0%BA%D0%B8_%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81%D0%BE%D0%B2_%D0%B2%D0%BC%D0%B5%D1%81%D1%82%D0%BE_%D1%80%D1%83%D1%81%D1%81%D0%BA%D0%BE%D0%B3%D0%BE_%D1%82%D0%B5%D0%BA%D1%81%D1%82%D0%B0

Не, ну сам я их туда точно не заливал 😂

Нихт ферштейн :) руссо туристо :)

Но поудалял все файлы а-ля thumb.php во вложенных папках uploads/2012 (в двух месяцах были такие) + папки cache с файлами cache.php похожего содержания. Сам файл сохранил для дальнейших исследований :)

Имеется строка

растолковывается как

По вшитым ссылкам я уже понял кто эту бяку прислал 😡 но хотелось бы найти как они это туда вшили :) может обратку надумаю как-нибудь кинуть, если не опомнятся

А это надо логи смотреть.

Благодаря какой-то баге которая позволяет .php файлы заливать вот и вшили 99%. Самая последняя массовая - года полтора-два назад бага была с timthumb.php, проверьте если ли на сайте тема оформления с динамическими превьюшками, надо проапгрейдить. Да и залитый скрипт мимикрируется под похожее имя.

Ну и вообще что бажное есть: установленные дополнения осматривают, сканят файлы, почистить если еще где закрепилось, пароли на базу сменить если в phpmyadmin зловредитель может потом вернуться чтобы восстановить доступ. Могу спеца посоветовать если заинтересует.

Первая попавшаяся ссылка подаренная гуглом ;).

АПД: Вторая ссылка более информативна ;)

Не совсем так. ВП просто так не позволит залить *.рhp (если только его подшаманить или плагами). Скорее всего шелл был залить под "маркой" пикчи (кстати, наверняка можно увидеть к какому посту она привязана. Соответственно определить редиску не трудно).

АПД. Перечитал 447 пост, появился ещё вариант.

Может это не хакерская атака, а просто кривая тема таким образом выводи превьхи. Я лично такого не встречал, но видел такое, что этому ничуть удивлюсь ;)

timthumb и выступает в роли "плага" там где он встроенный в темы оформления. Он бажный как раз и заливал как пишите под "маркой" пикчи в папку с кешем псевдокартинку. Там 1) некорректная проверка урла была - можно было подсунуть картинку с псевдодоверенного сайта навроде flickr.com.evilsite.com/evilscript.jpg плюс 2) старый timthumb хранил файлики кеша с легкоугадываемым именем с расширением .php, обе баги с тех пор пофиксили.

Было такое, как бэ неактуально, потому что совершенно верно:

Хотя да. Нам же не известна за версия ВП у modjo, и что там в тумбсе темы.

modjo, вот собсно, причина своевременно обновятся.