Взлом сайта на WordPress

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Ежедневно ломают сайт. У хостера доступны логи, но в них сведения об измененных и модифицированных файлах отсутствуют. Однако, есть сведения обо всех обращениях; отсутствие данных о заражении ИМХО говорит о том, что проникновения совершаются со стороны хостера, поэтому их не видно?
Логи перевел в xls, отсортировал и сделал сводную табличку, в которой пометил некоторые организации (лист 3 сводная таблица). Понятно, что google, yandex и пр. вирусы распространять не будут. С остальными не уверен.
За последние 5 дней, вызов процедуры дописывали в файл wp-content/themes/twentytwelve/js/navigation.js.
Сегодня вирус назывался wp-includes/js/mediaelement/michaelj.js.
Это имя всегда меняется, остается js.
Други, возможно ли по логам вычислить этих свалачей? Если нет, какими средствами их вычислить? (Шелы ищу параллельно)
Если эта информация платная, не стесняйтесь, пишите.
 
Последнее редактирование:

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Allex, вы что мазохист, извините конечно :)
Вордпресс не ломают практически. Забирайте дистрибутивы, чистите и переезжайте.
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Allex, вы что мазохист, извините конечно :)
Вордпресс не ломают практически. Забирайте дистрибутивы, чистите и переезжайте.

jino.ru (мой хостер) не единственный, кто не дает нормальные логи, не занимается вирусами и возможно дырявый.
В связи с чем вопрос: как не наступить на те же грабли?
Подскажите, плиз. норм. хостинг.

И ещё, jino.ru использовал около 2 -х лет. Всё у них было ровно и стабильно, пока не начались проблемы, об изменении файлов в логах инфы нет, антивирусная защита отсутствует.
В общем, не рекомендую.
 

fenixon

Пользователь
Регистрация
19.09.13
Сообщения
57
Реакции
1
Баллы
3
И ещё, jino.ru использовал около 2 -х лет. Всё у них было ровно и стабильно, пока не начались проблемы, об изменении файлов в логах инфы нет, антивирусная защита отсутствует.
В общем, не рекомендую.

насчет логов вы правы, антивирус и антиспам у них есть вроде Dr.Web копеек 30 или 40 в сутки, а в целом джино хост для начинающих, серьезным проектам там делать нечего а новичкам в самый раз, и ценовая политика у джино позволяет познавать сайтостроительство не "отваливая" кругленькую сумму хостеру. ИМХО
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
насчет логов вы правы, антивирус и антиспам у них есть вроде Dr.Web копеек 30 или 40 в сутки, а в целом джино хост для начинающих, серьезным проектам там делать нечего а новичкам в самый раз, и ценовая политика у джино позволяет познавать сайтостроительство не "отваливая" кругленькую сумму хостеру. ИМХО

Антивирус и антиспам платная опция только для почты, даже когда её подключаешь, спам идет.

Переписка


20.11.2013 14:14
Подключил Dr.web антиспам, но спам идет

Кожухов Евгений 20.11.2013 18:42
Здравствуйте.

Система Dr.Web обладает возможностью обучения. Если вы получаете письма, ошибочно определяемые как не спам, пересылайте их целиком (как вложение) на специальный адрес: [email protected]. В свою очередь, пропущенный фильтром спам нужно пересылать на [email protected].

Статус заявки изменён на «Требуется ваш ответ» (20.11.2013 18:42, Кожухов Евгений)

21.11.2013 10:43
1. Как пересылать письма как вложения, не понял.
2. У меня есть папка спам, письма оттуда я пересылаю на [email protected]? Возможно ли выполнить групповую операцию, а не каждое письмо отдельно пересылать?
3. Не проще ли анализировать мой ящик спам, как это делают mail.ru и др.?

Статус заявки изменён на «Ожидает ответа оператора» (21.11.2013 10:43, lawyer)

Дубовицкий Александр 22.11.2013 18:26
Здравствуйте


1. Как пересылать письма как вложения, не понял.


Сохраните текст письма в отдельным текстовом редакторе.


2. У меня есть папка спам, письма оттуда я пересылаю на [email protected]?


Да


Возможно ли выполнить групповую операцию, а не каждое письмо отдельно пересылать?


В одно письмо можно вложить несколько файлов с текстам спама.



Не проще ли анализировать мой ящик спам, как это делают mail.ru и др.?


Мы к сожалению данные операции не проводим.
 

fenixon

Пользователь
Регистрация
19.09.13
Сообщения
57
Реакции
1
Баллы
3
спросил у саппорта может у них есть платная услуга, что бы изменения файлов посмотреть. вот что ответили:(



Евгений Кожухов, 27.01.2014 16:33. Здравствуйте. Мы можем предоставить логи ftp доступа. На аккаунте изменения файлов не фиксируются.
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Подскажите, плиз. норм. хостинг.

Allex, много раз уже писал, поищите в темах новичков по вобле типа сайт с нуля, да и в статейном разделе есть. Тоже что-то типа сайта с нуля называется.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
Вордпресс не ломают практически

Ломают. Меня уже достали ломать один из моих сайтов на вордпресс. Чищу, обновляю, удаляю шеллы, меняю пароли... дня два - и все заново.
Ищу все плагины и методы защиты... Такое ощущение, что кому-то принципиально дался этот домен.
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Ломают. Меня уже достали ломать один из моих сайтов на вордпресс.

О хостинге не думала?
Если бы ломали вордпресс, то полрунета бложиков лежали бы. Вордпресс самый распространенный бесплатный движок, и если бы его ломали на любом из форумов уже давно стоял бы вой.
Давай угадаю. Хостинг наш, расиянский, с какой нибудь говнопанелью самописной.
У одной тетки сломали сайт. Сайт на html без движка. Что было? Хостинг hc.
Так что вот так.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
О хостинге не думала - ломают только этот сайт и в логах - черт знает что, от попыток подбора пароля до простукивания директорий... Жаль я не программист, не понимаю по логам, как в итоге удается взломать.
На этом же хостинге два сайта на других движках, там все тихо-мирно. Но хостинг наш, это да...
Попробовать интереса ради перекинуть на другой? Но что-то мне кажется, толку не будет.

Если бы ломали вордпресс, то полрунета бложиков лежали бы
Я боюсь, что кому-то дался именн этот сайт.
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Но что-то мне кажется, толку не будет.

Будет.
Только нужно не забыть при переносе поставить свежую версию движка, а не с хостинга. А также исследовать шаблоны на предмет возможных уязвимостей. Также было бы неплохо хотя бы визуально просмотреть БД, тем более что она скорее всего небольшая, на предмет base64 всяких.

На этом же хостинге два сайта на других движках, там все тихо-мирно.
На шареде не может быть 3 сайта. Или у тебя сервер? На шареде пару сотен сайтов как минимум.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
поставить свежую версию движка

Я это и так каждый раз делаю. Мне проще папки перекинуть заново, чем вручную все файлы проглядывать и сравнивать. Остаются свои практически только uploadы и themes ну и файл конфига.

А также исследовать шаблоны на предмет возможных уязвимостей

М... темки нет?

Также было бы неплохо хотя бы визуально просмотреть БД, тем более что она скорее всего небольшая, на предмет base64 всяких.

6 метров. Просмотрю. не знала, спасибо.

На шареде не может быть 3 сайта

Я имею ввиду в моем аккаунте три.
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
В базу полезла... base64 нету, но какая-то непонятность есть...
...
Что я вижу? Кучу разных php залитых, редирект в конфиге типа
Код:
require_once(ABSPATH.'wp-content/plugins/xcalendar/xcalendar.php');
xcalendar этот как плагин мне пару раз ставили, сносила
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Интуиция :) Нужно плагин посмотреть, чтобы сказать точно. Но это вряд ли взлом...
Если ты удаляешь плагин, то у тебя и папки xcalendar нет и пхпешника. Они должны удалиться при удалении плагина.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
Не, ты не понял. Плагин не появляется наверное в админке, по крайней мере мне при "установке" снаружи этого "плагина" доступ в админку сразу блокируется - просто нет формы входа. Плагином я его обозвала только за то, что такая папка появляется в директории плагинов.
Хочешь, пришлю, поковыряешь на досуге. Антивирусник на него не ругается. Просто у меня не было цели исследования, у меня была цель снести... что я и проделывала несколько раз.
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Нет, такой плагин существует. Но, я сомневаюсь, что этот плагин уязвим, если он скачан с офф сайта.
В конфиге нужно убрать эту строчку, на стр плагина нет такого, чтобы при установке нужно было прописывать что-то в конфиг. Посмотреть по фтп папки, удалить ненужные.
То есть, ты считаешь, что тебя взломали лишь потому, что не пускает в админку, или что? Не понял я как-то. Ты подробнее расскажи.

Добавлено через 4 минуты
Да, и поищи плагинчик для защиты от XSS атак. На старых версиях у меня стоят, на новых не ставил, у тебя же новые версии вордпресс поди, а те поди не совместимы. А о какой-то версии WP мне приходили письма о уязвимости.
Да, еще поставь https://lumtu.com/plaginy-dlya-word...chity-ot-vzloma-wordpress-login-lockdown.html лишним не будет.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
3. Check your wp-config.php file for a very sneaky line of code (usually at the bottom of the file). This code is something along the lines of:

“require_once (ABSPATH. ‘wp-content/plugins/ xcalendar/xcalendar.php ‘);”

This line of code runs a plugin that has been installed to your WordPress site without you knowing.

4. Login to your WordPress admin panel and go to the plugins section. You will see a new plugin present in the list called “Seo Advisor” by “Phil Smitter” with a link to the plugin author page seoadvisor.com to try and make it look genuine. Delete this plugin and remove all files from your server. This runs the xcalendar files.

Вот что я про него нарыла сейчас
http://www.ageneralblog.com/wordpress/2015/07/22/wordpress-hacked-with-sophisticated-hack/

Поподробнее... Да особо нечего. Какая-то зараза льет файлы в мои папки вордпресс. а я их чищу... Достало.
В базе ковыряюсь... но боюсь, найти уязвимость мне не под силу, буду кого-то нанимать для этой работы.
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
This line of code runs a plugin that has been installed to your WordPress site without you knowing
Это строка работает, когда плагин был установлен без вашего ведома.
Далее. Удалить этот плагин и все файлы с вашего сервера.
Проверить сайт на доп. администраторов.
Сменить своего администратора.

Если конечно это взлом замаскированный под плагин. Но сам такой плагин существует.
И еще. нужно поставить плагин блокирующий обновления. Обязательно.
И вернись на вордпресс версии 3.9.1 - 3.9.3 Я эти последними ставил. Полет отличный.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
Ты же говорила что устанавливали

Ну да, при взломе.
Уж плагин-то я точно не буду никого просить ставить))

Не дает движку жить своей жизнью. И плагинам тоже.
Сочтешь нужным обновиться, сделаешь это сама.

А название не подскажешь?
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Значит я читать разучился :(
Ну тогда базу не ковыряй. Посмотри по своей ссылке что надо сделать.
Дополнительно смени все пароли. После того, как. Найди плагин блокирующий XSS атаки, поставь защиту админки, блокировщик обновлений, смени админа, смени все пароли: в админку, в панель хостинга, пароль в БД. И желательно рашкин хостинг.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
По ссылке все сделала. Плюс поставила iThemes Security, настраиваю.
Пока тишина, о дальнейшем развитии событий сообщу.

Блокировщик обновлений так и не нашла, но в этом плагине есть блокировка запуска PHP файлов из пользовательских директорий. а это то, что нужно, я думаю.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
iThemes Security - потрясающий плагин! Я теперь прямо из админки смотрю, как они безуспешно пытаются найти свои файлы (в админку копируются все подозрительные действия в виде логов), и хмыкаю, когда происходит очередная блокировка.
Плагин - рекомендую. Надо бы заняться перевести, но времени нет от слова "совсем".
Спасибо за помощь и подсказки, Veter.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
Да о чем речь... Могу и всю остальную бяку для коллекции приложить)
Сейчас куда-нибудь закину архивчик и ссылку в личку пришлю.
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Держи русский. Попробуй, пойдет у тебя?
Там только одно слово не переводили умышленно секьюрити.
 

Вложения

  • russian-ithemes-05-25-2015.zip
    112.9 KB · Просмотры: 2

Constantine174

Пользователь
Регистрация
07.09.19
Сообщения
3
Реакции
0
Баллы
1
Я использую гугл аунтификатор и приложение в телефон. Вообще четко работает.
 

Статистика форума

Темы
200.635
Сообщения
380.523
Пользователи
327.875
Новый пользователь
fora777
Сверху Снизу