Форум Сайтостроение Безопасность

Официальный сайт Wordpress распространяет темы с вредоносным кодом

12
epp
На сайте с 16.08.2009
Offline
131
epp
1990

Вчера развернул простой вордпресс сайтик, чисто для тестирования у себя на сервере. Установил тему Optimizer с официального сайта wordpress, добавил 1 страницу lorem'а и все.

Сегодня с утра в тикете моего хостера вижу сообщение "Жалоба на фишинг", причем жалоба с французского сайта:

Hello,  

We are sorry to inform you that your network is hosting a "Phishing:URL" threat from the IP address "***".  

Please find the technical information identified by our systems below.  

The CRDF Labs lab issues alerts to the service providers responsible for hosting this malicious content so that the provider can stop the problem immediately. If you would like to know more about the CRDF Threat Center, please visit this webpage: https://threatcenter.crdf.fr/faq.html#answer_149  

----

* IP Address: ***
* Type of the detected threat: Phishing:URL
* URL: hxxp://nlonews[.]com/wp-includes/ID3/auth/PPL/?country[.]x=PL&locale[.]x=en_PL%3E&client=3f4968d6fc23dd512fe8ad85e4511b2f
* Domain name: nlonews[.]com

----

We recommend taking the necessary steps to identify and treat compromised machines.  
It is also your responsibility to research the cause of the infection and to do what is necessary to correct it.  

Important: for any answer, please include the following reference to all your exchanges.  
:ref:5d964b88caacf:ref:

WARNING: CRDF Labs processes notifications to abuse in an automated way by our systems. The email address "abuse_notification@crdflabs.fr" is not monitored because we receive too many automatic replies from abuse team. If you have a specific complaint or need help, you can contact us at "labs@crdf.fr".  

----

If you have done the necessary on your side regarding this issue, thank you kindly click on the link below to confirm the closure of this issue:  

https://threatcenter.crdf.fr/abuse.php?closed&reference=5d964b88caacf  

By clicking on this link, CRDF Labs will consider that the malicious resource is no longer accessible from your network. Thus, CRDF Labs will launch a specific procedure to remove the IP address and domain name blacklisted by CRDF Threat Center.  

----

If you no longer wish to receive our email alerts (they are useful), please follow the link below:  

https://threatcenter.crdf.fr/abuse.php?stop&reference=5d964b88caacf  

Regards,  
CRDF Labs Takedown Service,  

Website: https://threatcenter.crdf.fr  
CRDF Labs contact : labs@crdf.fr

И таких жалоб было еще 2. Затем я спросил, что за дела, я только скачал тему с офф сайта вп и установил, на что я получил ответ:


Очевидно, что эта тема содержит вредоносный код. К примеру, Google Chrome уже внес ваш сайт в свой список фишинговых сайтов и отображает предупреждение, при получении доступа.
Мы никогда не удаляем наши сайты клиентов, в том числе - не проводим работ без предупреждения.

Кто-нибудь сталкивался с таким?

Годные сервера в РФ, Нидерландах, Польше, Казахстане 1-1-15 от 278 рублей https://timeweb.cloud/r/oz83203
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#1
epp:
Кто-нибудь сталкивался с таким?

Было только пару идиотов, распространяющие такие фейковые заявления.

Их отличия - они не способны ни задать вопрос куда надо ни даже спросить о возможных причинах. Они полны уверенности что они самые умные, а ни 100500 проверок ни 100500 юзеров юзающих тему и не имеющих проблем ничего не значат.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Вывод на КредитЕвропаБанк Яндекс кобласит Webmoney актуальное
Samail
На сайте с 10.05.2007
Offline
361
Samail
#2
epp:
я только скачал тему с офф сайта

А сам ВП откуда? Ссылка то не на тему ведёт.

S
На сайте с 30.09.2016
Offline
469
Sitealert
#3
epp:
Кто-нибудь сталкивался с таким?

С каким "с таким"? Со взломом сайтов? Сколько угодно. Ищите вредоносный код и выясняйте причины его появления.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
Антон Лавеев
На сайте с 31.10.2005
Offline
425
Антон Лавеев
#4

Вордпресс - это грёбаное решето. Да, иногда он удобен, но если за ним не следить и не контролировать темы плагины и прочий мусор - рано или поздно будет взлом.

☠️☠️☠️
epp
На сайте с 16.08.2009
Offline
131
epp
#5
Samail:
А сам ВП откуда? Ссылка то не на тему ведёт.

Скачал с гитхаба https://github.com/WordPress/WordPress

Tarry, спасибо, буду знать...

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#6
Tarry:
Вордпресс - это грёбаное решето.

Только у тех, у кого в голове решето.

А ВП самый безопасный двиг, если соблюдать элементарные правила пользования.

epp:
Скачал с гитхаба

С оф сайта религия не позволила? Но это ладно.. Там вроде тоже правильный дистр. Но wp-includes/ID3/auth/PPL/ откуда у тебя взялся..

Прямые заходы ботов на Упал доход Откуда такие просмотры у
suffix
На сайте с 26.08.2010
Offline
325
suffix
#7
SeVlad:
А ВП самый безопасный двиг, если соблюдать элементарные правила пользования.

Про правила соглашусь, что безопасный соглашусь, но вот что самый безопасный - таки нет. Битрикс с по-умолчанию аж прямо при установке включённой проактивной защитой уже безопаснее (имхо), а уж если в этом модуле "проактивной защиты" уровень поднять на два пункта вверх - то это просто мечта параноика (даже под админом ничего сделать нельзя) (это уже не имхо а факт) :))))

Клуб любителей хрюш (https://www.babai.ru)
Пользователь требует удалить его сообщество в ВК новое Опубликован Реестр провайдеров хостинга
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#8
suffix:
но вот что самый безопасный - таки нет. Битрикс с по-умолчанию аж прямо при установке включённой проактивной защитой уже безопаснее

Наличие страшных слов в админке - это молого без ГМО не просто ни о чём, это уловки маркетологов, развод лохов, не понимающих ничего в безопасности. Реальной проактивной защиты в принципе не может быть в CMS. Да он там вообще не нужна.

И вообще любой опесорц, который поддерживается будет на порядок безопаснее коммерческого ПО.

suffix
На сайте с 26.08.2010
Offline
325
suffix
#9
SeVlad:
Реальной проактивной защиты в принципе не может быть в CMS.

Вот зря. Рабочая у Битрикс система, ну правда рабочая и попытки записи в базу отбивает даже и изменения файлов в админке отслеживает. Много чего может.

SeVlad:
Да он там вообще не нужна.
И вообще любой опесорц, который поддерживается будет на порядок безопаснее коммерческого ПО.

Ну я отказался от проактивной защиты в пользу ModSecurity для Apache - по причине что он гораздо менее тормозной чем проактивная защита Битрикс, но я знал что-как-и для чего делаю. В общем же случае несмотря на тормоза - она реальную защиту даёт.

Антон Лавеев
На сайте с 31.10.2005
Offline
425
Антон Лавеев
#10
SeVlad:
Только у тех, у кого в голове решето.

Поэтому его всё время ломают, да. Потому что пользуются им именно они, с решетом в голове ) Я не знаю, что может быть хуже, какой-нибудь DLE или Джумла? :D

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий