Взломали сайт на вордпресс

123
SeVlad
На сайте с 03.11.2008
Offline
1462
#11
sstixx:
поменял тему,

Нужно не просто "поменять", а поменять на недырявую. Те актуальную из оф каталога.

sstixx:
Раз в сутки добавляется редирект в index.php.
Сейчас обнаружил, что идёт брут xmlrpc.php

Это разные вещи.

sstixx:
Установил плагин Disable XML-RPC Pingback.

Не удивляйся если после этого не будут работать нек. плагины. Напр CF7.

---------- Добавлено 21.06.2018 в 12:08 ----------

gregzem:
и вылечить сайты автоматом.

..и поломать сайт :)

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
gregzem
На сайте с 22.11.2004
Offline
134
#12
sstixx:
В итоге снёс все плагины, установил заново вордпресс, поменял тему, проверил сайт через Айболит....проблема осталась. Раз в сутки добавляется редирект в index.php.
Сейчас обнаружил, что идёт брут xmlrpc.php
Установил плагин Disable XML-RPC Pingback.

Посмотрим, что будет.

Предполагать, что проблема в дырявых плагинах - не совсем верно. Вариантов заражения масса. Вот лишь некоторые:

1. Зараженные или дырявые соседние сайты по аккаунту

2. Через сбрученный, перехваченный пароль от FTP/SSH

3. Недолеченный сайт (остался бэкдор)

4. Уязвимости в плагинах (не в теме, например)

5. Рутованный сервер

6. Скомпрометированная админка (например, через редактор файлов в WP можно внедрять код в php)

Заменять тему WP, чтобы вылечить сайт от редиректа, это как прикладывать подорожник при переломе. Маловероятно, что оно поможет. Проблему нужно решать комплексно.

xmlrpc.php можно оставить открытым для локальных адресов, а для внешнего мира заблочить через .htaccess, если у вас Apache.



---------- Добавлено 21.06.2018 в 12:14 ----------

SeVlad:

..и поломать сайт :)

Наш не поломает.

Антивирус для ISPmanager (https://revisium.com/ru/products/antivirus_for_ispmanager/) | Антивирус для Plesk (https://plesk.revisium.com) | Профессиональное лечение и защита сайтов (https://revisium.com/)
SeVlad
На сайте с 03.11.2008
Offline
1462
#13
gregzem:
Наш не поломает.

Судя по айболиту - может поломать только так. Либо не вылечить.

Не, ай-болит - полезнейший скрипт. Тут респект и уважуха. И одним из его достоинств как раз НЕ автоматизированные действия, а лог подозрений.

gregzem:
Вот лишь некоторые:

Я выше давал ссылку с более детальным описанием ;).

gregzem:
Заменять тему WP, чтобы вылечить сайт от редиректа, это как прикладывать подорожник при переломе. Маловероятно, что оно поможет

Отнюдь. В 95% - именно темы с помоек и виноваты.

gregzem
На сайте с 22.11.2004
Offline
134
#14
SeVlad:
Судя по айболиту - может поломать только так. Либо не вылечить.

Revisium Antivirus != AI-BOLIT, это совершенно другой продукт. И базы у них разные.

Их не корректно сравнивать.

SeVlad:

Отнюдь. В 95% - именно темы с помоек и виноваты.

Есть ссылка на пруф? Какое-то исследование, где указано, что 95?

Мы лечим по несколько сотен сайтов в месяц и сканируем по несколько тысяч, и вот у нас совсем другие цифры.

[Удален]
#15
gregzem:
Вариантов заражения масса. Вот лишь некоторые:
1. Зараженные или дырявые соседние сайты по аккаунту
2. Через сбрученный, перехваченный пароль от FTP/SSH
3. Недолеченный сайт (остался бэкдор)
4. Уязвимости в плагинах (не в теме, например)
5. Рутованный сервер
6. Скомпрометированная админка (например, через редактор файлов в WP можно внедрять код в php)

100500. Использование Вордпресса 🍿

п.с. Не устану спрашивать - какая там версия уже этого замечательного движка?

S
На сайте с 09.07.2013
Offline
63
#16
gregzem:
Предполагать, что проблема в дырявых плагинах - не совсем верно. Вариантов заражения масса. Вот лишь некоторые:
1. Зараженные или дырявые соседние сайты по аккаунту
2. Через сбрученный, перехваченный пароль от FTP/SSH
3. Недолеченный сайт (остался бэкдор)
4. Уязвимости в плагинах (не в теме, например)
5. Рутованный сервер
6. Скомпрометированная админка (например, через редактор файлов в WP можно внедрять код в php)

Заменять тему WP, чтобы вылечить сайт от редиректа, это как прикладывать подорожник при переломе. Маловероятно, что оно поможет. Проблему нужно решать комплексно.


xmlrpc.php можно оставить открытым для локальных адресов, а для внешнего мира заблочить через .htaccess, если у вас Apache.




---------- Добавлено 21.06.2018 в 12:14 ----------


Наш не поломает.

1. Тема у меня бесплатная из официального каталога.

2. Удалил(понизил до роли подписчик) все аккаунта в вордпрессе и создал новый.

3. Пароли от ftp поменял уже несколько раз (сейчас хрен его сбрутишь)

4. Поменял мой личный пк (вдруг на старом вирус)

5. Остался конечно вариант сделать скрипт, который проверяет каждую минуту index.php и, если он поменялся, то заменить его верным. Но это не решение проблемы, мне кажется.

---------- Добавлено 21.06.2018 в 14:55 ----------

У меня вопрос ещё остался: из за незащищенного xmlrpc.php могут изменить index.php?

SeVlad
На сайте с 03.11.2008
Offline
1462
#17
gregzem:
Revisium Antivirus != AI-BOLIT, это совершенно другой продукт. И базы у них разные.
Их не корректно сравнивать.

Хм.. Ладно, ОК.

Но тем не менее я бы не рискнул доверять автоматизму. (Помню как у моего клиента CLAV или кто- то другой похерил сайт. А у другого хострер тупо заблокировали весь акк с 10ком сайтов из-за подозрений аналогичной автоститемы. Да, тут хостер виноват, но..автоматизм тут не есть хорошо)

gregzem:
Есть ссылка на пруф? Какое-то исследование, где указано, что 95?
Мы лечим по несколько сотен сайтов в месяц и сканируем по несколько тысяч, и вот у нас совсем другие цифры

Я последние годы занимаюсь только ВП (ок 99% моей занятости - это работа с ВП, включая безопасность ВП-сайтов ), и это статистика как из личного опыта, так из опыта коллег, включая запросы на форумах.

И такой "забавный" момент .. Вы же наверняка находили шеллы напр. в вижуалкомпозере, ревослайдере и др ком плагинах, так? И вы посчитали что шеллы в плагине, верно? Формально - да, но на самом деле - виновата тема с помойки. Это именно она принесла эти ворованные плаги.

S
На сайте с 09.07.2013
Offline
63
#18

Проблема решена, были загружены пару вредоносных файлов, которые обнаружить я не смог.

Помог мне gregzem, за что ему отдельное спасибо!

D
На сайте с 28.06.2008
Offline
997
#19

На будущее - все ответы в логах. Ищите запрос к данному файлу - запомнаем IP, отматываете чуть на раньше и уже по его IP смотрите как он это делает.

Лично мне пару раз помогала вот такая простенькая защита

/ru/forum/900084

Оптимизайка
На сайте с 11.03.2012
Offline
396
#20

Dram, для контроля целостности файлов лучше использовать специализированные инструменты, например aide или ossec

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий