Romka_Kharkov

Я имел ввиду то, что вы говорите или это или то или или .... а я ищу ответ ... точку проникновения ;) По этому и теория ;)

---------- Добавлено 05.07.2013 в 16:53 ----------

Есть обратная информация и она равна появлению непонятных файлов ... с шелами ))))

У каждого свой путь, вы правы... )))

Хочу вывести это из разряда теорий :D Вот же и вопрос, искать тупо внутри всего сорса какой-то код... смысла нет ..... ничего не найдешь или найдя не поймешь что это оно.... (Ну я всякие Eval, base64 поискал, посмотрел, парочка вроде адекватных есть, но х3... опять же :D diff с оригиналами не делал :D) стало быть надо ждать когда же полезут опять пробивать :D

Не знаю чем вы руководствуетесь, но как по мне, понять что проблема решена можно только увидев путь проникновения.... и залатав дырочку.... я вижу себе это так .... а так получается просто ждете пока следующий раз наступит...... не более того... а такая формулировка уже как по мне на решение и не похожа... ;( Увы... Я буду ждать и логировать.... посмотрим.... когда влезут.... тогда пойму как... изучу, а там будет ясно, решает ли это следующая версия :D

Аналогичное ..... Это сути не меняет, залитые файлы все принимают что-то на POST в котором содержится или шифр или прямой код....

Вопрос в том, вы знаете откуда он к вам попал? :)

А вы уважаемый багу нашли? Или просто удалили все и скачали новый WP без плагинов, если путь номер 2 , то это ни о чем не говорит и ничего у вас не порешалось, ждите пока по новой появится...

// Пока что была всего 1 попытка, попасть на другой файлик из набора сломанных, получил 404 ... и пока все :(

Жду пролома :S

Вот мне интересно, если ты такой понимающий ;)))) То почему перво пост не читал? ;))) Я же не спрашивал "помогите, что мне делать", я полагал получить ответы типа этих: "да я вот сталкивался, это дыра в модуле таком-то"..... и тому подобными :D ОПЫТ ..... а теорий у самого достаточно :D

Еще есть папки:

./wp-content/plugins/wp_add

./wp-content/plugins/wp_404

./wp-content/themes/MyCinema

Тут тоже были зараженные файлы, но это уже не суть важно, я уже писал выше, что после взлома они могут быть ГДЕ угодно... :) Но я взял акаунтов парочку, изучил , погрепал, попарсил.... Вроде вынял все явные eval() И base64_decode().

А может на dom0 начал винт умирать?

OMG :D

А посетители POST Не создают? ;)

---------- Добавлено 04.07.2013 в 17:17 ----------

Ну это по простому "сильно повезло" :D

---------- Добавлено 04.07.2013 в 17:38 ----------

// Посмотрел что там в залитый файлик струячат постом... ничего нового, банальный спам. через mail() ;(

Вы же понимаете что это ФАРТ :D ?