Взлом Wordpress

Я как-бы не первый раз сталкиваюсь с подобным, каждые полгода стабильно прилетает привет. Этот пока наиболее мозговитый из тех, что встречал, поэтому и зашел сюда и обнаружил пока только эту тему с абсолютно похожим вирем.

Так понимаю, что некоторые товарищи заходят в подобные темы чисто "засветиться" для рекламы своих услуг, а не дать конкретные советы, поэтому предпочту закончить наш пустой диалог, как с предыдущим оратором так и с Вами.

1. А шёл бы ты лесом и дальше.

2. Я в рекламе не нуждаюсь, у меня работы "по горло".

3. Конкретный совет по именно такому конкретному вопросу: если сам "ни ухом, ни рылом" в этом вопросе, найми специалиста. Ко мне не обращайся, я с хамами не работаю.

Ахахахахахахахахахахахахаха. Дорогой товаГЫЩ, если бы у тебя было работы по горло, ты бы точно тут не сидел и уж точно не вступал в какие-то непонятные диалоги. Так что не нужно тут делать из себя деловую колбасу.

Я в таких советах не нуждаюсь, ибо это и ослу понятно - и про наем специалиста и так далее.

В этой теме я ожидал увидеть советы от тех, кто столкнулся именно с подобным и схему что делал и как решил. Попытался описать свою схему что я делаю ибо не вижу никаких дельных советов по этому поводу, был заплеван)

Ага, я прям бегу уже заказывать твои услуги, милый, спотыкаюсь.

Пусть модер рассудит кто там ухом, кто рылом, кто еще чем.

В общем если кому-то все же интересно по теме.

Кроме всего прочего были директории (хорошо запрятанные внутри случайных папок) с названием .X1-unix, где множество файлов (около 4000-6000).

После удаления подобной папки + других файлов типа syssettings.php и т.д. (айболитом нужно сканить, самостоятельно только навскидку можно понять) и вообще абсолютной зачистки дирректорий - в корне стали появляться файлы типа cron.php, install.php, settings.php, sitemap.php, удаляешь один - остальные появляются, и так до бесконечности.

Пошел копать дальше. Также в кроне была задача на запуск бесконечно каких-то процессов. Ее удалил - не помогло. Следовательно, вирь пролез куда-то дальше, чем директории сайтов. Стал копать выше в директорию cpanel и т.д., там вычистил все, что только возможно = ничего не произошло. Т.к. хостинг это обычный, то далее чистить у меня просто нет прав.

Из всего вышеперечисленного следует правило, которое я выработал с этим вирем (до этого всегда помогало просто почистить) для обычного хостинга - полная перезагрузка акка в ноль. То есть, если нет возможности самому пересоздать акк, просим саппорт. И - вуаля, все работает нормально и больше не создаются файлы в директориях. Еще раз просканить айболитом все директории сайтов (даже из бекапа) и потом только заливать.

Физических затрат на бекап после такой ситуации - море. Может товарищи знатоки знают лучшие способы борьбы, но они будут молчать как партизаны, чтобы заказывали их услуги (не дешевые, более, чем уверен) по чистке, а кто-то просто из-за раздутого ЧСВ.

Выводы из всего: не пользуем сомнительные/давно не обновляющиеся плагины для WP, периодически просматриваем не появилось ли чего нового в директориях, вири любят плодиться в директориях кеша и аплоадсов - запрещаем там любые манипуляции и т.д. В общем-то читаем темку прикрепленную и используем рекомендации, но не всегда их можно придерживаться ввиду дороговизны, например. 1 сайт - 1 акк, это достаточно дорогое удовольствие, если у вас например 50 сайтов (у меня около того). В общем, у каждого "своя борьба".

Я стабильно каждые полгода чищу от подобного (этот попался довольно задиристый, гад) независимо от проводимых манипуляций, сейчас еще серьезнее займусь. Но никто не застрахован от того, что вири пролазят на акк и с других акков хостинга. Свой сервак нужно, и отдельный на каждый сайт. Но это лирика.

---------- Добавлено 05.08.2018 в 15:51 ----------

А, еще забыл добавить из интересного.

Заливаются файлы подтверждения гугл вебмастер в корень и сайты внезапно меняют локацию на "Япония" (у меня было так).

Если не приходит уведомление от гугл вебмастера, рекомендую проверить не изменена ли целевая страна у сайтов, которые могли быть подвергнуты атаке.

А что мешает вам (всем) поставить плагин или скрипт, который следит за изменением или добавлением папок-файлов?

Все проблемы чистки и ай-болитов не актуальны будут, и спать спокойно будете...

Подскажите какой + все равно он же за меня не будет и чистить и предотвращать взлом.

Я сам замечу на следующий день, допустим, а со скриптом - сегодня. Суть-то не несильно меняется.

Чтобы найти недавно модифицированные файлы, отсортированные в обратном порядке (то есть файл, измененный последним, будет показан первым), используйте:

$ find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

Поиск файлов, которые были модифицированы в последние 2 дня в директории /target_directory и во всех ее поддиректориях:

$ find /target_directory -type f -mtime -2

Улыбнуло; припомнился один гоголевский герой, которому вареники сами в рот прыгали. Не читал, земеля? :)

Это как правило не нужно (но есть масса плагинов, которые проверяю целостность файлов, сравнивая их с файлами из оф репо). Те, кто не понимает что делает, всё равно не разберётся что и где произошло - почти ежедневно что-то обновляется -то плаги, то темы, то ядро.

Да и вообще бестолку как правило. Шеллы и дыры сами юзеры тянут к себе на сайт, устанавливая темы/плагины с помоек, скрипты из интенетов и делая/используя самописные темы (всё те же дыры, устаревшие/опасные функции и тп).

Влажные мечты :)

Чтобы спокойно спать - ссылка в #7 сего топика.

Для полноты картины есть смысл напомнить про системную команду touch . Которая устанавливает время создания/модификации файла на любое желаемое взломщику .

Muskrat, есть mtime, а есть ctime. Одно дело глазами в файловом менеджере смотреть, другое дело - скриптом. Правда, судя даже по сообщениям в этом топике, далеко не все это понимают. ;)