- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Уже больше года не могу побороть закидывание на сайты одного аккаунта у хостера одинакового типа файлов, с сгенерированныи именами типа "article81.php, diff17.php" и проч. только цифры меняются. Внутри код под Base64. В последниее время стал наблюдать просто наборы символов с .php. При этом частично "портятся" и нужные файлы, путом дописывания кода в начале.
Насколько я понял - все эти каки рассылают спам. Проникают тупо во все папки на акканту - даже пустые (специально создавал).
Бороться пробовал по всякому, отчасти помогает плагин Wordfence - сканирует, сигналит об изменениях файлов, позволяет удалить новые и восстановить попорченные. Но через какоето время все повторяется снова.
Перенос на другого хостера тоже не помогает. через некоторое время все начинается снова. Видимо в каокй то базе у спамеров уже домен с уязвимостью
Почему то уверен, что эта зараза известна все владельцам сайтов на WP. Может кто уже понял где там дыра, через которую лезут?
Готов даже немного заплатить за поиск уязвимости.
Версия WP актуальная?
Плагины не халявные с "интернета"?
Версия всегда актуальная, плагины с официальных сайтов.
Несколько раз удавалось дешифровать код - видел как генерируются имена файлов, как выбирается дата создания, такая же как дата создания одного из соседних файлов. Чистая зараза, недописанная к старым фалам всегда 11 килобайт размером.
CookieM, у меня похожая проблема была когда еще когда была обнаружена уязвимость с timthumb.php
Один из плагинов использовал устаревшую версию с уязвимостью.
Никак не мог победить заразу пока не сделал все с нуля.
Установил новый WP, по одному плагину, потом импортировал записи.
Вся проблема в халявных плагинах, скачанных с непонятных сайтов.
Вся проблема в халявных плагинах, скачанных с непонятных сайтов.
Таковых не имеем.
---------- Добавлено 06.10.2017 в 01:50 ----------
CookieM, у меня похожая проблема была когда еще когда была обнаружена уязвимость с timthumb.php
Один из плагинов использовал устаревшую версию с уязвимостью.
Никак не мог победить заразу пока не сделал все с нуля.
Установил новый WP, по одному плагину, потом импортировал записи.
А какой именно плагин? Сейчас не вспомните?
У меня их минимум. Сначала подозревал что с бекапером XClone что то не так, но удалял его совсем - все равно лезут
Да, еще заметил, что эта ерунда лезет только на аккаунты у хостеров, где есть хотя бы 1 сайт, засвеченный в сапе. Не могут же они лезть через саповский код? Давно бы все тогда знали это.
А какой именно плагин? Сейчас не вспомните?
какой то из плагинов который с миниатюрами работал (обрезал).
Но вам это не важно. Скачайте айболит и просканируйте сайт.
Далее посмотрите любым плагином для поиска вхождения в постах скриптов. Если их нет - экспортируйте все добро.
Айболитом пользовался - ничего не дает, кроме списка зараженных файлов. Но с ними Wordfence быстрее српавляется.
А что за "плагин для поиска вхождения в постах скриптов"?
Имеется ввиду что в базе данных вместе с постами лежит шелл?
Почему то уверен, что эта зараза известна все владельцам сайтов на WP.
Совершенно необоснованная уверенность. Все владельцы могут Вам только посочувствовать и похлопать по плечу.
Совершенно необоснованная уверенность. Все владельцы могут Вам только посочувствовать и похлопать по плечу.
Уверенность основана на двух фактах 1. Проблема встречена на двух разных хостингах. 2. Процедура "заброса" скрипта-рассыльщика автоматизирована - ботнет сам себя распространяет обшаривая интернет и раскладывая заразу.
Вызов заразы для рассылки спама идет с совершенно разных IP из разных стран - запретами бороться не получается. Момент внесения заразы в логах хостера засечь не могу, но тут возможно что я их читать не умею как следует :-) Предотвратить конечно можно путем запрета отправки почты из php. Но проблему не решает, да и мне этот функционал самому нужен.
Уверенность основана на двух фактах 1. Проблема встречена на двух разных хостингах. 2. Процедура "заброса" скрипта-рассыльщика автоматизирована
Непонятно, как из этих фактов возникла уверенность, что всем известно, где на Вашем сайте дыра. Если только все бомбят этот сайт шеллами? Но это вряд ли.
Такая проблема не у всех владельцев сайтов на ВП, а только у тех, которые необоснованно считают, что они сами смогут побороть эту проблему.