- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
поменял тему,
Нужно не просто "поменять", а поменять на недырявую. Те актуальную из оф каталога.
Раз в сутки добавляется редирект в index.php.
Сейчас обнаружил, что идёт брут xmlrpc.php
Это разные вещи.
Установил плагин Disable XML-RPC Pingback.
Не удивляйся если после этого не будут работать нек. плагины. Напр CF7.
---------- Добавлено 21.06.2018 в 12:08 ----------
и вылечить сайты автоматом.
..и поломать сайт :)
В итоге снёс все плагины, установил заново вордпресс, поменял тему, проверил сайт через Айболит....проблема осталась. Раз в сутки добавляется редирект в index.php.
Сейчас обнаружил, что идёт брут xmlrpc.php
Установил плагин Disable XML-RPC Pingback.
Посмотрим, что будет.
Предполагать, что проблема в дырявых плагинах - не совсем верно. Вариантов заражения масса. Вот лишь некоторые:
1. Зараженные или дырявые соседние сайты по аккаунту
2. Через сбрученный, перехваченный пароль от FTP/SSH
3. Недолеченный сайт (остался бэкдор)
4. Уязвимости в плагинах (не в теме, например)
5. Рутованный сервер
6. Скомпрометированная админка (например, через редактор файлов в WP можно внедрять код в php)
Заменять тему WP, чтобы вылечить сайт от редиректа, это как прикладывать подорожник при переломе. Маловероятно, что оно поможет. Проблему нужно решать комплексно.
xmlrpc.php можно оставить открытым для локальных адресов, а для внешнего мира заблочить через .htaccess, если у вас Apache.
---------- Добавлено 21.06.2018 в 12:14 ----------
..и поломать сайт :)
Наш не поломает.
Наш не поломает.
Судя по айболиту - может поломать только так. Либо не вылечить.
Не, ай-болит - полезнейший скрипт. Тут респект и уважуха. И одним из его достоинств как раз НЕ автоматизированные действия, а лог подозрений.
Вот лишь некоторые:
Я выше давал ссылку с более детальным описанием ;).
Заменять тему WP, чтобы вылечить сайт от редиректа, это как прикладывать подорожник при переломе. Маловероятно, что оно поможет
Отнюдь. В 95% - именно темы с помоек и виноваты.
Судя по айболиту - может поломать только так. Либо не вылечить.
Revisium Antivirus != AI-BOLIT, это совершенно другой продукт. И базы у них разные.
Их не корректно сравнивать.
Отнюдь. В 95% - именно темы с помоек и виноваты.
Есть ссылка на пруф? Какое-то исследование, где указано, что 95?
Мы лечим по несколько сотен сайтов в месяц и сканируем по несколько тысяч, и вот у нас совсем другие цифры.
Вариантов заражения масса. Вот лишь некоторые:
1. Зараженные или дырявые соседние сайты по аккаунту
2. Через сбрученный, перехваченный пароль от FTP/SSH
3. Недолеченный сайт (остался бэкдор)
4. Уязвимости в плагинах (не в теме, например)
5. Рутованный сервер
6. Скомпрометированная админка (например, через редактор файлов в WP можно внедрять код в php)
100500. Использование Вордпресса 🍿
п.с. Не устану спрашивать - какая там версия уже этого замечательного движка?
Предполагать, что проблема в дырявых плагинах - не совсем верно. Вариантов заражения масса. Вот лишь некоторые:
1. Зараженные или дырявые соседние сайты по аккаунту
2. Через сбрученный, перехваченный пароль от FTP/SSH
3. Недолеченный сайт (остался бэкдор)
4. Уязвимости в плагинах (не в теме, например)
5. Рутованный сервер
6. Скомпрометированная админка (например, через редактор файлов в WP можно внедрять код в php)
Заменять тему WP, чтобы вылечить сайт от редиректа, это как прикладывать подорожник при переломе. Маловероятно, что оно поможет. Проблему нужно решать комплексно.
xmlrpc.php можно оставить открытым для локальных адресов, а для внешнего мира заблочить через .htaccess, если у вас Apache.
---------- Добавлено 21.06.2018 в 12:14 ----------
Наш не поломает.
1. Тема у меня бесплатная из официального каталога.
2. Удалил(понизил до роли подписчик) все аккаунта в вордпрессе и создал новый.
3. Пароли от ftp поменял уже несколько раз (сейчас хрен его сбрутишь)
4. Поменял мой личный пк (вдруг на старом вирус)
5. Остался конечно вариант сделать скрипт, который проверяет каждую минуту index.php и, если он поменялся, то заменить его верным. Но это не решение проблемы, мне кажется.
---------- Добавлено 21.06.2018 в 14:55 ----------
У меня вопрос ещё остался: из за незащищенного xmlrpc.php могут изменить index.php?
Revisium Antivirus != AI-BOLIT, это совершенно другой продукт. И базы у них разные.
Их не корректно сравнивать.
Хм.. Ладно, ОК.
Но тем не менее я бы не рискнул доверять автоматизму. (Помню как у моего клиента CLAV или кто- то другой похерил сайт. А у другого хострер тупо заблокировали весь акк с 10ком сайтов из-за подозрений аналогичной автоститемы. Да, тут хостер виноват, но..автоматизм тут не есть хорошо)
Есть ссылка на пруф? Какое-то исследование, где указано, что 95?
Мы лечим по несколько сотен сайтов в месяц и сканируем по несколько тысяч, и вот у нас совсем другие цифры
Я последние годы занимаюсь только ВП (ок 99% моей занятости - это работа с ВП, включая безопасность ВП-сайтов ), и это статистика как из личного опыта, так из опыта коллег, включая запросы на форумах.
И такой "забавный" момент .. Вы же наверняка находили шеллы напр. в вижуалкомпозере, ревослайдере и др ком плагинах, так? И вы посчитали что шеллы в плагине, верно? Формально - да, но на самом деле - виновата тема с помойки. Это именно она принесла эти ворованные плаги.
Проблема решена, были загружены пару вредоносных файлов, которые обнаружить я не смог.
Помог мне gregzem, за что ему отдельное спасибо!
На будущее - все ответы в логах. Ищите запрос к данному файлу - запомнаем IP, отматываете чуть на раньше и уже по его IP смотрите как он это делает.
Лично мне пару раз помогала вот такая простенькая защита
/ru/forum/900084
Dram, для контроля целостности файлов лучше использовать специализированные инструменты, например aide или ossec