WP + 7c334.php

Так а что мешает посмотреть-то?

SeVlad, простите посмотреть что? Изучить весь код всех шаблонов с целью выяснения одной строки с каким-то $_POST ? У меня на это уйдут годы :D Хотя можно качнуть оригинал темы и сделать diff... надо рассмотреть этот вариант тоже, но мне как-то проще кажется - подождать )))) скоро они полезут еще разок ломать, тогда будут ясны аргументы, параметры и их величины подаваемые на скрипты, а тут уже и станет понятно, где именно косяк... Главное пока не рубать возможность спамить, что бы думали что все еще на месте :D :D :D Можно сказать внутреннее расследование ;)

Ну как что? Сайт же известен. Осталось поискать шелл в каталоге с темами (можно и весь wp-content). Какие проблемы- не понимаю, чесслово..

Да ладно :). Хотя бы минимум: айболит + поиск по файлам на предмет всяких бейс64 и тп.

АПД. Ида. Уже же и панический топик создавался. ;) Там и возможные коды есть.

А, так вы что мне рассказываете что ли про grep + sed ? :) Я в курсе, это первое что было отгрепано и об этом было написано чуток раньше..... :) :) Явных шелов не видать, а пролом повторный успешно произведен... ;)

Romka_Kharkov, кстати, попробуйте тему ненадолго сменить (старую удалить временно) - и понаблюдать..

root, да это все не даст нужного результата, мне понять надо при каких условиях какой-то левый POST создает на сервере файл, а для этого мне надо понять куда идет обращение и что передается в запросе.... а так что получается, сменю тему и.... выяснится что дырка допустим в предыдущей теме... как её искать потом? ;) Задача не почистить сайт от вирусов, а разобраться как пролом происходит, возможно потом изложить это в WP support. Вы же не думаете что я 2 недели жду не зная как переставить WP c оф. сайта ? ;)

---------- Добавлено 13.07.2013 в 02:27 ----------

root, напомню что моя версия 3.5.1, последняя 3.5.2, при этом скачав последнюю, получил diff по штатным темам который ничего военного не показывает.

twentyeleven.diff:

diff -ruN /home/romka/wordpress/wp-content/themes/twentyeleven/languages/twentyeleven.pot /home/customer/public_html/wp-content/themes/twentyeleven/languages/twentyeleven.pot
--- /home/romka/wordpress/wp-content/themes/twentyeleven/languages/twentyeleven.pot     2013-04-26 09:58:43.000000000 -0400
+++ /home/customer/public_html/wp-content/themes/twentyeleven/languages/twentyeleven.pot        2013-01-01 00:19:40.000000000 -0500
@@ -4,7 +4,7 @@
 msgstr ""
 "Project-Id-Version: Twenty Eleven 1.5\n"
 "Report-Msgid-Bugs-To: http://wordpress.org/tags/twentyeleven\n"
-"POT-Creation-Date: 2013-04-26 13:58:43+00:00\n"
+"POT-Creation-Date: 2013-01-01 00:19:40+00:00\n"
 "MIME-Version: 1.0\n"
 "Content-Type: text/plain; charset=UTF-8\n"
 "Content-Transfer-Encoding: 8bit\n"
@@ -253,8 +253,8 @@

 #: content-single.php:39
 msgid ""
-"This entry was posted by <a href=\"%6$s\">%5$s</a>. Bookmark the <a href="
-"\"%3$s\" title=\"Permalink to %4$s\" rel=\"bookmark\">permalink</a>."
+"This entry was posted by <a href=\"%6$s\">%5$s</a>. Bookmark the <a href=\"%3"
+"$s\" title=\"Permalink to %4$s\" rel=\"bookmark\">permalink</a>."
 msgstr ""

 #: content-single.php:64

twentytwelve.diff:

diff -ruN /home/romka/wordpress/wp-content/themes/twentytwelve/header.php /home/customer/public_html/wp-content/themes/twentytwelve/header.php
--- /home/romka/wordpress/wp-content/themes/twentytwelve/header.php     2012-10-26 19:25:45.000000000 -0400
+++ /home/customer/public_html/wp-content/themes/twentytwelve/header.php        2013-07-11 19:51:47.000000000 -0400
@@ -51,4 +51,4 @@
                <?php endif; ?>
        </header><!-- #masthead -->

-       <div id="main" class="wrapper">
\ No newline at end of file
+       <div id="main" class="wrapper">
diff -ruN /home/romka/wordpress/wp-content/themes/twentytwelve/languages/twentytwelve.pot /home/customer/public_html/wp-content/themes/twentytwelve/languages/twentytwelve.pot
--- /home/romka/wordpress/wp-content/themes/twentytwelve/languages/twentytwelve.pot     2013-04-26 09:58:47.000000000 -0400
+++ /home/customer/public_html/wp-content/themes/twentytwelve/languages/twentytwelve.pot        2013-01-01 00:19:44.000000000 -0500
@@ -4,7 +4,7 @@
 msgstr ""
 "Project-Id-Version: Twenty Twelve 1.1\n"
 "Report-Msgid-Bugs-To: http://wordpress.org/tags/twentytwelve\n"
-"POT-Creation-Date: 2013-04-26 13:58:46+00:00\n"
+"POT-Creation-Date: 2013-01-01 00:19:44+00:00\n"
 "MIME-Version: 1.0\n"
 "Content-Type: text/plain; charset=UTF-8\n"
 "Content-Transfer-Encoding: 8bit\n"
@@ -240,7 +240,6 @@
 msgid "Reply"
 msgstr ""

-#. Translators: used between list items, there is a space after the comma.
 #: functions.php:332 functions.php:335
 msgid ", "
 msgstr ""
@@ -249,8 +248,6 @@
 msgid "View all posts by %s"
 msgstr ""

-#. Translators: 1 is category, 2 is tag, 3 is the date and 4 is the author's
-#. name.
 #: functions.php:352
 msgid ""
 "This entry was posted in %1$s and tagged %2$s on %3$s<span class=\"by-author"
@@ -279,9 +276,8 @@
 msgid ""
 "<span class=\"meta-prep meta-prep-entry-date\">Published </span> <span class="
 "\"entry-date\"><time class=\"entry-date\" datetime=\"%1$s\">%2$s</time></"
-"span> at <a href=\"%3$s\" title=\"Link to full-size image\">%4$s &times; "
-"%5$s</a> in <a href=\"%6$s\" title=\"Return to %7$s\" rel=\"gallery\">%8$s</"
-"a>."
+"span> at <a href=\"%3$s\" title=\"Link to full-size image\">%4$s &times; %5"
+"$s</a> in <a href=\"%6$s\" title=\"Return to %7$s\" rel=\"gallery\">%8$s</a>."
 msgstr ""

 #: image.php:41

twentyten.diff:

diff -ruN /home/romka/wordpress/wp-content/themes/twentyten/languages/twentyten.pot /home/customer/public_html/wp-content/themes/twentyten/languages/twentyten.pot
--- /home/romka/wordpress/wp-content/themes/twentyten/languages/twentyten.pot   2012-12-07 15:59:52.000000000 -0500
+++ /home/customer/public_html/wp-content/themes/twentyten/languages/twentyten.pot      2013-01-01 00:19:30.000000000 -0500
@@ -1,14 +1,14 @@
-# Copyright (C) 2012 the WordPress team
+# Copyright (C) 2013 the WordPress team
 # This file is distributed under the GNU General Public License v2 or later.
 msgid ""
 msgstr ""
-"Project-Id-Version: Twenty Ten 1.4\n"
+"Project-Id-Version: Twenty Ten 1.5\n"
 "Report-Msgid-Bugs-To: http://wordpress.org/tags/twentyten\n"
-"POT-Creation-Date: 2012-11-16 22:18:49+00:00\n"
+"POT-Creation-Date: 2013-01-01 00:19:29+00:00\n"
 "MIME-Version: 1.0\n"
 "Content-Type: text/plain; charset=UTF-8\n"
 "Content-Transfer-Encoding: 8bit\n"
-"PO-Revision-Date: 2012-MO-DA HO:MI+ZONE\n"
+"PO-Revision-Date: 2013-MO-DA HO:MI+ZONE\n"
 "Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
 "Language-Team: LANGUAGE <LL@li.org>\n"

@@ -83,7 +83,7 @@
 msgid "Comments are closed."
 msgstr ""

-#. #-#-#-#-#  twentyten.pot (Twenty Ten 1.4)  #-#-#-#-#
+#. #-#-#-#-#  twentyten.pot (Twenty Ten 1.5)  #-#-#-#-#
 #. Author URI of the plugin/theme
 #: footer.php:33
 msgid "http://wordpress.org/"

Может вы что-то рассмотрите... :)

Но есть правда и "другие" темы установленные клиентом.... посмотрю на них внимательней....

Чтоб понять как происходит пролом - надо настроить логирование содержимого пост запроса и модификации файлов

Как только произошло изменение - смотрим посты за это время и находим уязвимость

оооо... а говорил:

Romka_Kharkov, ты меня удивляешь. 150 раз рассказано что в первую очередь надо делать, а ты (при таком желании найти дыру) неделю непонятно чем занимаешься. явшоке.

И я напомню - в 352 пофикшено несколько проблем с безопасностью. Ида, все изменения всех кодов (типа дифф) тоже ведутся

Я еще раз вам повторяю, отгрепано все и давно и НИЧЕГО подозрительного в этих темах нет, DIFF я сделал специально что бы убедиться в исправности тем, или попытаться найти то, что я мог недогрепать..... Какие вы предлагаете варианты? Я взял несколько шаблонных взломов с eval, пограпал их, тишина, потом погрепал base64, вообще совпадений нуль, посмотрел iframe, одно софпадение и то на Facebook Какой-то виджет что-ли... Предлагайте...

А занимаюсь я не непонятно чем, а вполне ясной вещью, я ожидаю, очередного пролома, который принесет более емкие данные о том, что именно и куда именно было запощено для достижения такого результата.... Увы подогнать этот процесс не является возможным, но между тем как я завел тему и вторичным проломом прошло около 1й недели.... :)))

Ну и что бы вы совсем не переживали .... поясню, что сей сайт вообще не фунциклирует :D, там "поломанный" \ "переломанный" WP.... на который продолжаются ломиться то ли инфицированные тачки и доламывать то ли какие-то персонажи не добрые :D

// Немного обновлений.

Опять пролом и опять блин я запаролся и чуток не правильно расставил хуки, захватил не все что требовалось :)) Ну ничего , жизнь научит. :)

Пролом осуществляется тем же образом что и описано ранее (судя по POST в логах), используется тот же скрипт....

Но появился интересный момент...

Когда разбираю $_POST пришедший на wp-login.php

Получаю вот такие данные:

Интересно , почему оно ломиться на wp-admin если я пытаюсь зайти на сайт? НЕ говоря уже про update.php Я конечно не супер знаток WP, может так и надо, а может уже все заражено так , что это уже не WP :D