... и буйное дамочко, которое обвиняет всех, кто с ней не согласен, включая поисковик, а также домысливает факты и давит на убогую жалость всех мастей и различия половых признаков. Ящетаю, что педагогам лучше уделять время детям, а не устраивать баталии на форумах.
И сайт представляет собой ядерный быдлокод
Не знаю как это вообще в индекс запихнуть можно.
Потому что его не смотрю.
Мои глаза не могут аккомодироваться нормально на расстояния, превышающие 35 см, афтар индюк и вообще прожектор вырубите у моника и втыкайте днями.
Дорогой бородатый админ, мне глубоко плевать какое имя у моего собеседника. Я колупаюсь с WP начиная с 2008, плагины пишу к этой CMS с 2009, ставлю линьку на свои рабочие ноуты с 2009 тоже, поднимаю сервера вплоть до связок PHP-FPM с 2010. И меня просто нипадецки напрягает, когда неведомые юзеры, считающие свою бороду самой длинной, заваливаются в топик и начинают мне рассказывать что шелл оказываицо имеет структуру плагина, что логи можно потыкать пальцем и найти айпишечки взломщиков, что файлики-то с шеллами снести можно.
Да тыкал я логи до ваших советов, там всего два айпишника, ни один не объясняет полученный доступ к инсталлеру плагинов. А искать ещё однин\два\etc, которые и спёрли пароли\пробили_админку не представляется возможным, потому что между взломом и десятком-другим заходов на страницу логина уже известных вредителей прошло полмесяца и 300М логов.
А что до вас, так я просто охреневаю с того, как можно раздавать советы по защите только части сайта после вторжения без установленной причины. На фтпшку доп. защиту вешаете? Выносите wp-config повыше? Оккупируете .htaccess? Ахриненна. Я уже теку от такого подхода.
Надеюсь, врачом вы не работаете.
У меня ноут линейки RF511, видюха торт, камни огонь, матрица лютый вин. Берите если есть рядом в продаже.
Вы уверены, что знаете что такое FTP и как работает инсталл плагинов?
Так вот, во-первых, мне не нужно распрягать что такое .htaccess и как удалять папки. Во-вторых, вы не совсем понимаете в каких случаях WP использует FTP для инсталла плагина. В линуксовых ФС есть такая вещь как юзер и группа и есть папка вида /var/www, которой назначен какой-нибудь vasya:vasya. А есть ещё фронтэнд, в данном случае апач, который работает тоже под каким-нибудь www-data:www-data. Так вот если по каким-то причинам у вашего апачика нет возможности записи в папку вашего юзера, а сайтик, напоминаю, работает под апачиком, то WP начинает клянчить FTP доступ. Пнятненько, да?
Какое отношение советы на запрет перезаписи .htaccess, вынесение wp-config.php на уровень выше и постоянное дёргание обфускаций помогут в борьбе с шеллом, описанным выше? Запрет по IP на /wp-admin/ && /wp-includes/ вообще не имеет смысла.
Хостеры имеют практику ставить ClamAV на обход ноды, когда уследить за всеми новыми клиентами и их подозрительным трафиком и содержимым не представляется возможным вручную.
Аватарка риальнее некуда http://www.tineye.com/search/6b7289797730e2438f1edcf0f3d1c5d48597ab08/?pluginver=chrome-1.1
Кстати, прeвед топикстартеру. Мания преследования с раздутым ЧСВ прогрессирует?
17 января был взлом с 193.111.9.98, через пару минут с 213.238.9.7 зашли на шелл и заразили все .htaccess. Позже вернулись с 193.111.9.98, потыкали пару раз шелл и без каких-либо указаний свалили. 4 февраля вернулся 193.111.9.98, прочекал наличие шелла и снова свалил.
Первая активность 213.238.9.7 начинается 10 декабря, зашёл с реферером
http://www.google.com.ua/url?sa=t&rct=j&q=%D1%80%D0%B0%D1%81%D1%81%D0%BA%D0%B0%D0%B7%D1%8B%20%D1%81%D0%B5%D0%BA%D1%81&source=web&cd=5&ved=0CDsQFjAE&url=http%3A%2F%2FSITE4.com%2Ftag%2Fsluchajnyj-seks%2F&ei=EdvjTouvAtOYsAbNurG_Cw&usg=AFQjCNHALErAfjYPc0mA7NsOo_1VA5SP0w
Далее небольшая активность на одном из сайтов
access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:40 +0000] "GET /favicon.ico HTTP/1.1" 200 4662 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:41 +0000] "GET /wp-content/themes/ghostwriter/font/gentium.ttf HTTP/1.1" 200 112581 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:43 +0000] "GET /wp-content/themes/ghostwriter/font/gentium-italic.ttf HTTP/1.1" 200 116010 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:44 +0000] "GET /wp-content/themes/ghostwriter/font/gentium-bold.ttf HTTP/1.1" 200 117619 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:46 +0000] "GET /wp-content/themes/ghostwriter/font/gentium-bold-italic.ttf HTTP/1.1" 200 112996 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"access.log.43:213.238.9.7 - - [10/Dec/2011:22:22:18 +0000] "GET /2011/08/den-rozhdeniya/ HTTP/1.1" 200 11953 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"access.log.43:213.238.9.7 - - [10/Dec/2011:22:22:39 +0000] "GET /tag/gruppovoj-seks/ HTTP/1.1" 200 14212 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"access.log.43:213.238.9.7 - - [10/Dec/2011:22:23:51 +0000] "GET /2011/11/dostupnaya-odnogruppnica/ HTTP/1.1" 200 15889 "http://SITE4.com/tag/gruppovoj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"access.log.43:213.238.9.7 - - [10/Dec/2011:22:28:57 +0000] "GET /2011/08/dorozhnye-razvlecheniya/ HTTP/1.1" 200 12564 "http://SITE4.com/tag/gruppovoj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"access.log.43:213.238.9.7 - - [10/Dec/2011:22:30:00 +0000] "GET /2011/08/doigralis/ HTTP/1.1" 200 11247 "http://SITE4.com/tag/gruppovoj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
Следующее появление только 17 числа.
Грепнул второй айпишник, оказалось, что 193.111.9.98 долбился ещё 23, 24, 25, 27 и 28 декабря.
access.log.30:193.111.9.98 - - [23/Dec/2011:21:20:54 +0000] "GET / HTTP/1.1" 200 46711 "http://SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [23/Dec/2011:21:20:57 +0000] "GET /administrator/ HTTP/1.1" 404 5680 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [23/Dec/2011:21:20:59 +0000] "GET /user HTTP/1.1" 404 5680 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [23/Dec/2011:21:21:00 +0000] "GET /?q=user HTTP/1.1" 200 46719 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [23/Dec/2011:21:21:01 +0000] "GET /index.php?do=register HTTP/1.1" 301 0 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [23/Dec/2011:21:21:02 +0000] "GET /wp-login.php HTTP/1.1" 200 3193 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:23 +0000] "GET / HTTP/1.1" 200 78583 "http://SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:25 +0000] "GET /administrator/ HTTP/1.1" 404 28307 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:27 +0000] "GET /user HTTP/1.1" 404 28307 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:29 +0000] "GET /?q=user HTTP/1.1" 200 78664 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:30 +0000] "GET /index.php?do=register HTTP/1.1" 301 0 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:31 +0000] "GET /wp-login.php HTTP/1.1" 200 3747 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
... долбился на все сайты на сервере, лог довольно длинный.
Позже вернулся 17 января
access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:37 +0000] "POST /wp-login.php HTTP/1.1" 302 20 "http://SITE1.ru/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:40 +0000] "GET /wp-admin/ HTTP/1.1" 200 11873 "http://SITE1.ru/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:41 +0000] "GET /wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 6108 "http://SITE1.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:44 +0000] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 4523 "http://SITE1.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:44 +0000] "GET /wp-content/plugins/zlfmjbpfmbc/gsm.php HTTP/1.1" 200 4722 "http://SITE1.ru/wp-content/plugins/zlfmjbpfmbc/gsm.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:48 +0000] "POST /wp-login.php HTTP/1.1" 302 20 "http://SITE5.ru/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:51 +0000] "GET /wp-admin/ HTTP/1.1" 200 11260 "http://SITE5.ru/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:52 +0000] "GET /wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 5657 "http://SITE5.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:52 +0000] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 4054 "http://SITE5.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:53 +0000] "GET /wp-content/plugins/zottaueioev/gsm.php HTTP/1.1" 200 4731 "http://SITE5.ru/wp-content/plugins/zottaueioev/gsm.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:12 +0000] "POST /wp-login.php HTTP/1.1" 302 20 "http://SITE3.ru/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:16 +0000] "GET /wp-admin/ HTTP/1.1" 200 15594 "http://SITE3.ru/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:19 +0000] "GET /wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 7462 "http://SITE3.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:25 +0000] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 5490 "http://SITE3.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:25 +0000] "GET /wp-content/plugins/zafvpopbtec/gsm.php HTTP/1.1" 200 4726 "http://SITE3.ru/wp-content/plugins/zafvpopbtec/gsm.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
Первый да, второй в базе хэшей быть должен.
