- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Ситуация такая: есть несколько сайтов на одном хостинге. Почти все на WP. Везде одна и та же гадость: много рандомно раскиданных по разным папкам файлов типа .33file.php, inc.php и т.д. - очень много разных вариантов. Чаще всего встречается файл sopka.php
Вопрос в следующем: как правильно все почистить? Т.е. допустим, убираем директории wp-admin и wp-includes, меняем их на чистые последней версии, а дальше? wp-content вручную перепроверить?
Пароли на ftp и к сайтам поменяли.
Смена чистых папок из оригинальной версии движка может не помочь, т.к. заразу могут и в картинку вставить и не только движок может быть виноват.
"разделяй и властвуй чисти" - в смысле разделить по отдельным аккаунтам, затем айболитом и ручками все папки проверить
melkozaur, :D а как насчет того что надо найти как хакнули?
melkozaur, :D а как насчет того что надо найти как хакнули?
Вероятно, тому кто хакнул уже закатали ноги в тазик и в Гудзон) Теперича как взломали, просто нужно почистить 🍿 Теперь, ежели серьёзно, то, конечно же, вначале ищите дыру, через которую Вам всё это залили, иначе любые чистки ни к чему не приведут.
melkozaur, добрый вечер.
Еще надо обязательно менять пароль к БД.
Далее все папки админки лучше перезалить скачав WP с сайта. Потом надо смотреть шаблон и плагины (искал обычно файлы с измененной датой).
1) Попробуйте убить файл xmlrpc.php.
2) В .htaccess => защита wp-config.php
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
аналогично для файла wp-login.php но открыть для ваших ip-адресов
Allow from 192.168.0.1/16 (внутренняя сеть)
Allow from Ваши-ip
Закройте директорию <Directory .../wp-admin/></Directory> и откройте только для себя Allow from...
3) И последнее закройте доступ файлом .ftpaccess по фтипи с других ip-адресов кроме Вашего, будьте внимательны, иначе сами не сможете зайти!
<Limit ALL>
Allow from Ваши-ip адреса
Deny from all
</Limit>
wp-content вручную перепроверить?
Темы и плаги - перекачать с оф. сайтов. То, что дописывалось - вручную (+ айболитом не помешает)
В uploads - никаких пхп-файлов. И вообще запретить в них исполнение пхп.
Не помешает также проверить картинки виндовым антивирем.
начинать надо с тем - слишком уж много помоечных сайтов с бесплатными русскими темами, зараженными всякой гадостью. вы все вычистите - вас опять взломают.
плюс обновить вордпресс и плагины - в популярных плагинах время от времени находят дырки. из последнего - популярный революшен слайдер подвержен взлому.
Lord_Leon,
Спасибо, насчет IP не знаю - сайты не мои.
SeVlad, Flector, тут случай клинический: стояли 3 темы ломаные, скаченные понятно с каких сайтов, там могло быть что угодно.
стояли 3 темы ломаные, скаченные понятно с каких сайтов, там могло быть что угодно
Ну дык.. шож :)
Вообще не плохо бы глянуть дату создания файла(могли поменять но вдруг) потом посмотреть логи за эту дату,мб там будет конкретное обращение к бекдору в ломаной теме через гет запрос,если же обращение через пост запрос,то вы скорее всего данным способом не узнаете есть бекдор в скрипте или нету,тогда можно посмотреть ip,которые обращались к шеллу,если там всего 1 ip то вероятнее всего и заливка происходила с этого же ip,значит можно посмотреть в логах к каким скриптам обращался этот ip перед обращением к шеллу и искать в них. Так же,если всё таки бэкдор через метод POST, можно удалить все шеллы,которые можешь найти и после данной процедуры накатать скрипт,который логировал бы все POST запросы,а там уже смотреть. Может быть вообще никакого бэкдора нету и взлом этих сайтов произошёл из-за не обновлённого какого-нибудь плагина на одном из них,или же была сбручена админка(сложность пароля оцените сами и решите допускать ли данный вариант). Мог быть сбручен FTP,опять таки проверьте пасс на прочность. Могла быть использована не так давно найденная xss,которая активна до версии 3.9 включительно вроде бы,тогда у вас просто украли куки,вам необходимо обновить wp до последней версии, и поменять пароли. По поводу чистки,впринципе можете удалить всё,оставив только БД(оочень маловероятно что шелл обитает там) и поставить чистый wp. Можно попробовать использовать ai bolit,сам не использовал,но если честно не очень доверяю этому скрипту т.е. спрятать можно оочень хорошо.