- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Уже давно, можно сказать несколько лет я не сталкивался со взломом сайтов и ущербом от этого.
Для своих сайтов в основном использую модификацию одной из малоизвестных и довольно оригинальных CMS, к тому же многое, насколько позволяют знания переписывал, дополнял, можно сказать создал оригинальную вещь.
На сервере у меня несколько пользователей. На одном пользователе среди группы сайтов находился сайт на WordPress 3.9.1. Началось все с установки кое-какого плагина, сказать какой я по некоторым причинам не могу, но возможно, что это из-за него.
Вероятно и дело в том, что описывается в этой соседней теме
/ru/forum/949920
11 ноября, в пятницу вечером я обнаружил, что сайты на том пользователе начали один за одним отрубаться. На многих на главных появились дефолтные заглушки хостера с содержимым файла index.html, которые не должны показываться. Резко выросла нагрузка на сервер, начало расти дисковое пространство. Во все каталоги начали загружаться файлы заточенные под Wordpress.
На следующий день еще хостер прислал абузу на спам с сервера.
Вот пример тех левых файлов, что появились в одной из папок.
http://prntscr.com/dgeoyf + еще модифицировались .htaccess и index.php
Две первые папки - файлы шаблонов и страницы бурж дорвеев, которые стремительно увеличивались по количеству.
То что на скриншоте - это еще начальная стадия. Подобные файлы набивались во все каталоги того пользователя в папке www. В одну пустую папку набилось вместе с файлами на скриншоте более 30ти файлов с именами вроде 78687jhgh.php.
Вначале я попробовал удалять эти левые файлы и дефолтный index.html, все-таки погасли лишь главные страницы. Но в итоге файлы вновь появлялись. В общем забил, снес все файлы каталога www, восстановил из бекапа, благо бекапы делаю часто. Также поменял все пароли на максимально сложные, отключил службы ftp, ssh. Даже проверил рабочий ПК на вирусы и переустановил операционку.
Но помогло на несколько дней. Вновь та самая история + еще появлялись в разных каталогах файлы вроде test1.php, test2.php. Те действия приходилось выполнять еще несколько раз в следующие пару недель.
В итоге перенес злополучный сайт-Wordpress на отдельного пользователя и поставил максимальные ограничения, создал пустую папку для контроля. Помогло на чуть большее время и вчера проблема опять вылезла, но уже она касалась лишь одного сайта. Аналогично, как и в прошлые случаи начали набиваться файлы в папки на /www/.
Так как по некоторым причинам обновить CMS и отказаться от плагинов не могу, то буду отказываться от wordpress вообще, переводить сайт на другую CMS.
Вот такой рассказ, может простой с точки зрения спецов.
Кому надо вот выкладываю архив с частью файлов той заразы, что генерировалась
https://cloud.mail.ru/public/4Jxx/cp7JtTk9h
Надеюсь кому-то эта информация возможно поможет решить проблемы
Так в итоге то дыру нашли?
What plugins are used? Do you use Power Zoomer plugin?
https://www.pluginvulnerabilities.com/2016/06/07/arbitrary-file-upload-vulnerability-in-power-zoomer/
У меняя сосед ездил на старом дырявом ведре. Ремонтировать не хотел, резина лысая, заправлял мочёй. А тут лобовик заклеил непрозрачной плёнкой ну и попал в аварию.
БМВ - говно!
Надеюсь кому-то эта информация возможно поможет решить проблемы.
Кому надо вот выкладываю архив с частью файлов той заразы, что генерировалась
Ну этот кто-то тебе спасибо скажет за такой набор шеллов.
Так как по некоторым причинам обновить CMS и отказаться от плагинов не могу, то буду отказываться от wordpress вообще, переводить сайт на другую CMS.
Отличный аргумент. Древний движок держите, а виноват, кто-то другой))) Правильно SeVlad написал)))
Нет причин по которым нельзя обновить движок, отказаться от плагинов. в 90% случаев почти все плагины на самом деле и не нужны... большую часть требуемого функционала можно вообще без плагинов добавить. У Вас то не просто дырявый старый вп, а еще и дырявые старые плагины)))
Взял темплаты из доргена :) Простейшие как 3 копейки, попробую по аналогии сгенерировать, спасибо ТС
---------- Добавлено 07.12.2016 в 18:35 ----------
P.S Бугага и это только по одному признаку :) https://www.google.ru/search?q=%7Bmanytext_bing%7D&oq=%7Bmanytext_bing%7D&sourceid=chrome&ie=UTF-8
---------- Добавлено 07.12.2016 в 18:37 ----------
Эээ нет други, такое не беру <!-- Created by Artisteer v4.0.0.58475 --> :kozak:🤣
---------- Добавлено 07.12.2016 в 18:40 ----------
Скрипт доргена 2010 года и макросы {manytext}, {manytext_bing}, {manytext_ab}, {manytext_an} – много текста соответственно из файла, из бинга, из артиклсбэйса. Гринвуд взялся опять за старое ? 🍿
---------- Добавлено 07.12.2016 в 18:46 ----------
ТС траф то был и по какой тематике? Это дорген Noise который специально для выпечек, а взломщик один из его клиентов, докопаться до истины не сложно при желании ;)
SeVlad
БМВ - говно!
Надеюсь кому-то эта информация возможно поможет решить проблемы.
Ну этот кто-то тебе спасибо скажет за такой набор шеллов.
Может и по делу все сказано, да я не уделил обновлениям внимание, согласен, мой косяк.
Не предусмотрел этого, так как со взломом практически не сталкивался.
Но разве это повод острить и минусовать карму?
Мы приходим на форум как-бы делится опытом, хоть он в данном случае смешной с точки зрения спецов по безопасности.
Или может я лично тебе нанес ущерб финансовый и т.п тем что выложил в открытую свой скромный опыт по борьбе со взломом?
Я с 2008 года пилю разные сайты. Не так много в сравнении с некоторыми конечно. Вначале это была одна малоизвестная CMS. Затем я нашел другое решение и во многом переделал под себя. Можешь как угодно относится и даже воспринимать как личную обиду - я за пределами CMS Wordpress таких слов как взлом, шелл и т.п на данный момент не знаю.
---------- Добавлено 07.12.2016 в 18:02 ----------
ТС траф то был и по какой тематике? Это дорген Noise который специально для выпечек, а взломщик один из его клиентов, докопаться до истины не сложно при желании ;)
Спасибо за инфо. Трафа и не могло быть, эти страницы даже не показались на сайтах, кроме возможно того самого Вордпресса. :)
Во второй и т.д разы я прибивал эту заразу уже почти моментально:)
находился сайт на WordPress 3.9.1
Было бы удивительно, если бы не взломали такую древность.
И особенно с "кое-каким плагином..."
Их(плагины) в первую очередь и ломают на ВП
я за пределами CMS Wordpress таких слов как взлом, шелл и т.п на данный момент не знаю.
WP самая популярная CMS, неудивительно, что многие силы направлены именно на её взлом, а не на никому неизвестные полуживые системы. Дело не в уязвимости, а в массовой популярности.
Но разве это повод острить и минусовать карму?
Ещё какой!. "Острота" по поводу смешного "материала". Ты написал точно то же что и я. Только я видимо доходчивей для тебя, раз ты мои слова понял, а свои нет.
А "спасибо", как и ты просил - за распространение шеллов. Такое "спасибо" от меня получают все распространители заразы.
Это вне зависимости от движка или намерений. Думать башкой надо что выкладывать!
Теперь по ВП.
Даже в ветке 3,9.х последняя тех. версия, закрывающая найденные уязвимости 3.9.14, вышла буквально три месяца назад. ВП должен был сам обновиться на неё. Ты же САМ, СОЗНАТЕЛЬНО отключил тех обновления (= отказался от необходимого техобслуживания и ремонта отваливающегося кардана).
И это не говоря уже за левые древние плаги и темы (=говнобензин и тонировка лобовика китайскими плёнками)
И при всё при этом ты обвиняешь движок, не важно какой (=производителя авто), но никак не себя.
Ещё какой!. "Острота" по поводу смешного "материала". Ты написал точно то же что и я. Только я видимо доходчивей для тебя, раз ты мои слова понял, а свои нет.
А "спасибо", как и ты просил - за распространение шеллов. Такое "спасибо" от меня получают все распространители заразы.
Это вне зависимости от движка или намерений. Думать башкой надо что выкладывать!
Теперь по ВП.
Даже в ветке 3,9.х последняя тех. версия, закрывающая найденные уязвимости 3.9.14, вышла буквально три месяца назад. ВП должен был сам обновиться на неё. Ты же САМ, СОЗНАТЕЛЬНО отключил тех обновления (= отказался от необходимого техобслуживания и ремонта отваливающегося кардана).
И это не говоря уже за левые древние плаги и темы (=говнобензин и тонировка лобовика китайскими плёнками)
И при всё при этом ты обвиняешь движок, не важно какой (=производителя авто), но никак не себя.
Ок, мнение понятно. Выкладывал для ознакомления.
Файл, ссылка на который указана в стартовом посте, удалил.
Из постов в теме теперь и так понятно для стороннего читателя содержимое файлов.