Утром как обычно на работе открываю сайт, все работает. Потом надо было внести кое-какаие изменения. Захожу по FTP на сервер, скачиваю себе те несколько файлов, которые надо изменить. Попутно замечаю странный новый (по дате вчерашний, хотя я вчера ничего не делала) файл со странным именем templatic89.php. Через десять минут хочу загрузить обратно файлы, нет соединения. Сайт тоже упал, не открывается, почтовая программа выдает ошибки. Ничего себе! Написала сразу в техподдержку хостинга, а сама думаю, что я такого сделала. Ведь только скачала 4 файла.
Странный файл я тоже скачала, успела, открыла в редакторе - там абркакадабра какая-то. Нет, понятно, что это код на PHP, но что он делает, я понять не смогла. Даже не знаю, у кого спросить. Можно ли сюда выкладывать возможно небезопасный код?
Техподдержка сказала, что нас по IP заблокировал firewall серверa за port scanning. Это может быть как-то связано с тем странным php-файлом?
Спасибо. Это, наверно, опять WordPress шалит. Он нам уже делал такие гадости. Тогда сайт не падал, а делал редирект на какую-то другую страницу. Пойду почищу базу.
1. Вычищаем сайт от бэкдоров
2. Ищем как поломали
3. Меняем пароли, в том числе и на почту к которой привязан хостинг.
Странный файл я тоже скачала, успела, открыла в редакторе - там абркакадабра какая-то. Нет, понятно, что это код на PHP
Всё без проблем особых можно распаковать, но там будет какой либо webshell (скорее всего wsshell), для вас это никакого значения не имеет, вам нужно латать дыры.
Спасибо. Это, наверно, опять WordPress шалит. Он нам уже делал такие гадости. Тогда сайт не падал, а делал редирект на какую-то другую страницу. Пойду почищу базу.
Если закрыть комментарии в ВордПрессе, поможет? В прошлый раз нам в комментарии накидали скриптов. Мне вообще этот блог на ВордПрессе не нужен. Работа делается на сайте, рекламируется сайт. Но шеф считает, что блог (который с 2015 не обновляется!) ему делает рейтинг в поисковиках. Закрыла комменты.
Проверила базу блога. В одном посте пропустила и оставила скрипт. Удалила. Возможно, он уже и не работал. Ведь это был результат предыдущего взлома. Когда нам закачали по Shell два файла. В этот раз нас тут же блокировал файрвол сервера и перезаписать файлы не получилось. Дурацкий сайт fuckingscam зарегистрирован в Литве, город Шяуляй.
Elenaki, То что в базе это не совсем то, искать нужно дыру в плагинах и темах + в файлах.
Вас как-то "сломали" искать необходимо источник проблемы а не залечивать результаты.
ТыжСисАдмин,
Сотрудники компании RIPS раскрыли детали новой уязвимости в WordPress. Баг нашли в самой CMS, а не в популярном плагине или теме, что бывает не так уж часто. Официального патча для этой бреши пока нет, хотя разработчиков проинформировали о баге еще в ноябре прошлого года.
Хотя официального исправления пока нет, разработчики RIPS выпустили собственный временный хотфикс, который приложен к отчету. Код специалистов нужно добавить к файлу functions.php.
Продолжение истории. Сегодня сайт работает нормально. По FTP увидела уже три новых файла, помеченных вчерашним числом, время около 10:30 - как раз то время, когда я начала делать изменения на сайте. НО! Вчера этих файлов не было! Был один незнакомый, который я переименовала, а потом и вовсе удалила и на работу сайта это не повлияло. Сегодняшние находки уже читаются, можно понять, что они делают. Пошла в базу. Там, несмотря на то, что я вчера все просмотрела и почистила, опять появился мусор в постах. И сам блог, который на WordPress, сегодня не открывается, хотя вчера работал. Проблема в том, что блог у меня не забакапен. Я им и не занималась особо. Попробовать переустановить WordPress на сервере? Сначала попрошу хостера. Даже, если на неделю назад вернет, не страшно, там и не было никаких особых событий.
Простой
