- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Видимо в процессе первого взлома злоумышленник поменял пароль админа WP, после чего просто заходит и заливает как так и надо :) :) :) Вот она сила дебага :D
Поменял пароль в базе на админа , жду дальше :D
У человека упал сайт, 500 еррор, попросил посмотреть:
Аналогичная проблема. тот же самый файл 7c334.php плюс в корне ireland.html с редиректом на п.рно сайт. :)
в плагинах вордпресса обнаружилась папка-плагин wordks1.shell
если кому интересно могу прислать содержимое. там шелл We1112311b Shell by oRb
адский код найден в плагине widget fixer правда я не в курсе откуда брали этот плагин - с репо вордпресса или качали откуда то. в нем бэкдор в самом начале и прописался.
пью пиво, жду новых гостей :)
/// В процессе изучения наткнулся на еще один интересный феномен, представьте себе, беру WP с оригинального сайта, заливаю, только указываю пароли к базам, хоп и заливается туда база с левым содержанием, у меня была паника минут 15.. пока не изучил логи.... В момент когда я заливаю WP кто-то начинает его устанавливать ... то ли бот то ли реальный зловред... стало быть он успевает установить WP быстрее меня.... со своими данными :D Это прямо не касается изучаемой уязвимости, но тоже довольно интересный ход... видимо боты каким-то макаром понимают что WP еще не установлен и начинают эту процедуру сами..... ;) :) :)
Romka_Kharkov - а как такое возможно? Если вы ставите WP, то откуда некто, кто обращается к сайту знает параметры подключения к базе (юзер, база, пароль)?
Этот некто однозначно бот. То есть, если правильно понимаю, смена паролей не помогает? Может, дыра вовсе не в сайте?
Если вы ставите WP, то откуда некто, кто обращается к сайту знает параметры подключения к базе (юзер, база, пароль)?
Потому что:
только указываю пароли к базам,
видимо боты каким-то макаром понимают что WP еще не установлен
Если база прописана в конфиге, но таблицы не созданы, то само-собой будет редирект на инстал, где бот тупо заполнит поля и отправит форму. Как собсно и в любом другом двиге.
со своими данными
А какие данные? Название блога, юзер.. Какие-то ещё настройки, отличные от дефолтных производятся (пермалинеки, час. пояс, темы-плагины и тп.)?
Romka_Kharkov - а как такое возможно? Если вы ставите WP, то откуда некто, кто обращается к сайту знает параметры подключения к базе (юзер, база, пароль)?
Смотрите пошагово:
1. Качаю WP. (На соседнем мониторе tail лога по POST)
2. Распаковываю.
3. Захожу на страничку, оно мне welcome , начинайте устанавливать...
4. Шаг установки просит полезть в конфиг и прописать там данные.
5. Прописываю, нажимаю >>Next , а оно мне в ответ "у вас уже установлен WP почистите базу". Хотя она предварительно была почищена до пункта #1.
6. Смотрю лог на соседнем экране из п. #1 а там кроме моего поста еще один тоже на установку.... :)
Проделывал не поверите раза 3.... пока перед началом установки не закрыл htaccess все кроме своего IP... По той же схеме WP Установился идеально, вопросов не возникает больше, могу предположить пока что это целевая атака на конкретный сайт, что бы даже в момент установки "неопытным пользователем" можно было успеть навредить..... Как-то так, иных пояснений у меня пока не находится....
---------- Добавлено 18.07.2013 в 17:56 ----------
Этот некто однозначно бот. То есть, если правильно понимаю, смена паролей не помогает? Может, дыра вовсе не в сайте?
Да не в паролях дело, просто между тем моментом как я поменял пароль в конфиге для установки, и тем моментом пока я продолжил установку - вклинивается POST запрос со всеми данными типа купите Xbox ;) Ясно? Опережает мой тычек........ либо долбит по интервалу.
---------- Добавлено 18.07.2013 в 17:57 ----------
Если база прописана в конфиге, но таблицы не созданы, то само-собой будет редирект на инстал, где бот тупо заполнит поля и отправит форму. Как собсно и в любом другом двиге.
+100500.
А какие данные? Название блога, юзер.. Какие-то ещё настройки, отличные от дефолтных производятся (пермалинеки, час. пояс, темы-плагины и тп.)?
Из явно видимого название блога типа "купите Xbox"... ну заполняются шаблонные данные, левый admin левый пароль .... название, глубже не изучал, может там и записи какие-то создаются....
4. Шаг установки просит полезть в конфиг и прописать там данные.
Это воще не обязательно. Если конфига не будет - ВП при сетапе попросит эти данные прямо в фейсе.
Из явно видимого название блога типа "купите WP
Так "типа" или так и есть? Реально интересно какими данными заполняется. Этих же данных по дефолту не существует и они не генерятся. Значит они отправляются злоумышленником и вполне возможно по ним можно получить полезную инфу для вычисления зловреда.
Да не в паролях дело, просто между тем моментом как я поменял пароль в конфиге для установки, и тем моментом пока я продолжил установку - вклинивается POST запрос со всеми данными типа купите Xbox ;) Ясно? Опережает мой тычек........ либо долбит по интервалу.
Понятно. Я бы даже никогда не подумал об этом, а ведь при переносе сайта можно попасть :)
Это воще не обязательно. Если конфига не будет - ВП при сетапе попросит эти данные прямо в фейсе.
Увы это понятно вам мне и еще ряду лиц, но многие делают то, что написано :D
Так "типа" или так и есть? Реально интересно какими данными заполняется. Этих же данных по дефолту не существует и они не генерятся. Значит они отправляются злоумышленником и вполне возможно по ним можно получить полезную инфу для вычисления зловреда.
Как есть я написал, особо не вчитывался, после вашего пояснения про ботов у меня появилась и другая теория, возможно это был бот который тупо постит в обычные формы со спамом, ему то не понять что это за форма, для контакта или установки, заполнил поля по шаблону и отправил... а имена полей я полагаю там совсем не уникальные description какойнить email... admin ... lala ;) Что полезного можно узнать? :) Очередной IP Китая? :) Установите в такое положение десяток копий, я думаю через пару дней будет много чего для анализа :D
---------- Добавлено 18.07.2013 в 18:16 ----------
Понятно. Я бы даже никогда не подумал об этом, а ведь при переносе сайта можно попасть :)
А вы думаете я спал и мне снилось :D Посмотрел в логи, подумал, сперва тоже была паника, уже думал даже что заражение на уровне самого WP... т.е качаю с оф. сайта уже бяку.. ;)) Но все пришло ;)