WP + 7c334.php

Список всех плагинов можете показать?

-----------

Произвел поиск вредоносного скрипта на серверах, нашел еще один взлом. Понизил права на скрипт и запретил удаление - чтобы повторно не залили.

Romka_Kharkov, вы меня заинтриговали. Попробую изучить данный вопрос.

Весьма забавно, похоже уязвимость не новая.

Папка wp-content/uploads/2013/06 создана 7 Jun

А файл в корень залит только 24-го

вот и аналогичный случай к месту:

wp 3.3.1

в корне шелл 404.php, 7c334.php

папка плагинов: левые папки - wp_add (class-wp-importer-cron.php, b, mod_system.php, tumblr-importer.php, logs.txt, aBs0.html, /temp/), wp_404 (содержимое повторяется), wp_api (содержимое повторяется), zbtmteinbje (gg.php, gsm.php)

wp-content: вставка в пустой index.php

папка темы: 7c334.php 404.php

и мелкие пакостные index.php с POST-запросами в разных местах

даты редактирования старые начало июня

Погорячился, я видимо похвалить.

Господа хостеры! Ну пожалуйста, не лезьте вы в файлы юзеров без их на то ведома\согласия. Даже если вам кажется, что там какая-то "бяка".

SeVlad, уважаемый, если из шела идет спам здесь только два решения: заблокировать клиентский аккаунт либо "придушить" сам вредоносный файл до решения клиента.

Полагаю что все клиенты будут за второй вариант.

Если разница между изучениями клиентских файлов и блокировкой работы зловредного кода.

У вас в условия предоставления хостинга сказано, что хостер может заблокировать\удалить\изменить любой файл на своё усмотрение? Полагаю, что нет.

Хотя в таком конкретном случае как спам (или тп действия, а не потенциальная угроза) - я пожалуй соглашусь - лучше лок одного файла, чем всего акка ;).

WapGraf, я неоднократно сталкивался с жалобами типа "не работает функция" или того хуже - "не могу попасть в админку", где причиной был недохостер, которому показалось, что некий файл представляет потенциальную опасность и он тупо заблокировал к нему доступ (или даже удалил его).

И кто думает, что клиенты радовались возникшими на пустом месте проблемам, с которые по нескольку дней мучились?

Ну вариантов может быть множество, согласен.

У нас если обнаруживается, например спам, стараемся заблокировать этот файл и естественно сразу уведомляем клиента.

По условиям вы конечно правы. Но считаю нужно вникать немного и в состояние клиента, которых вложил в сайт душу, а тут из-за уязвимости в КМС он теряет.

Моя практика говорит что после блокировки аккаунта идет негатив, а после блокировки файла и уведомлении наоборот.

-------

А по теме: есть у кого новости?

К сожалению в своих логах не смог найти откуда ноги растут.

p.s. кстати этим летом какое то наводнение по спаму на шареде. Зафиксированных случаев больше в десятки раз чем за предыдущие 5 мес.

Господа НЕДОклиенты, сперва изучайте что вы заливаете и не создавайте проблем остальным на сервере и будет вам счастье.

---------- Добавлено 07.07.2013 в 06:18 ----------

А они наверное думали что хостер тащился от радости выгребая сотни спама из очереди?

WapGraf, 7c334.php уже довольно давно используется и скорее всего проблема в версии вордпресса.

у меня другой вопрос: посмотрите у своих клиентов, которые на вордпрессе, папку /wp-content/uploads/любой_год/ - есть в ней файлы небольшого размера, имена - md5 хэши, jpg, но не картинки - спам - появляются или пока нет???

несколько сайтов уже видел с таким спамом, появился видимо новый способ испортить людям жизнь...

Подтверждаю наличие следующих файлов, после "чистки"

./wp-content/uploads/2013/cc22c2f76233ed0400733cbf605fe1cb.jpg: empty
./wp-content/uploads/2013/8f0531acad4531363bc4a98b9808e427.jpg: empty
./wp-content/uploads/2013/0eb87885d178786c3c7cfaa8d17c732f.jpg: empty
./wp-content/uploads/2013/ee9e56a65a0619ee1fc00e2ce608297e.jpg: empty
./wp-content/uploads/2013/55a22061c9a770f9670079776a1d4843.jpg: empty

Однако все они нулевого размера. При этом POST запросы зафиксированы только на wp-login, никаких бяк туда не передавалось, POST содержит банальные брутфорсы.... изучать GET ? :D

Но есть одно НО, они почему-то создаются в коре года, а обычно WP раскладывает еще и на месяцы....

Еще есть POST-ы от крона...

"POST /wp-cron.php?doing_wp_cron=1372946752.6286299228668212890625 HTTP/1.0" 200

Но их количество не соответствует кол-ву файлов, стало быть в кроне чисто... а то теоретически и оттуда может уже поступать что-то :D

Зафиксировал несколько попыток обращения на файлы якобы залитые еще месяц назад.... ))) точечные, не от ботов :D

---------- Добавлено 07.07.2013 в 07:26 ----------

/// Добавлено

Изучив логи согласно времени появления непонятных JPG наткнулся на то, что в это время обычный "Ezooms/1.0" посещает сайт... причем на произвольный урл.... Немного поковырялся, потестировал, оказалось, что файл создается в момент посещения любого сокращенного урла, типа www.domain.com/gde-kupit-kartowku

Стало быть надо смотреть в "темы" или "шаблоны" ??? Такой пустой файлик носит уникальный характер, скорее всего завязан на IP.... надо изучать дальше, потому что при удалении файла .... и нажатии F5 в браузере ... файлик появляется точно с таким же именем.....

Возможно это какой-то суперкеш нулевой длинны ))) не уверен я в WP Не особый знаток.... ;)

Нет, таких файлов после чистки и апгрейда нету.

---------- Добавлено 07.07.2013 в 10:25 ----------

Запросов от "Ezooms/1.0" много, но это обычный бот, который начинает свой путь как и положено из /robots.txt. Кроме этого количество запросов к 1 домену довольно невысокое, чтобы говорить о том что это не обычный поисковый бот.

p.s. subnet 208.115.113/24, 208.115.111/24