Взлом сайта на WordPress

A

Allex1

#1
Ежедневно ломают сайт. У хостера доступны логи, но в них сведения об измененных и модифицированных файлах отсутствуют. Однако, есть сведения обо всех обращениях; отсутствие данных о заражении ИМХО говорит о том, что проникновения совершаются со стороны хостера, поэтому их не видно?
Логи перевел в xls, отсортировал и сделал сводную табличку, в которой пометил некоторые организации (лист 3 сводная таблица). Понятно, что google, yandex и пр. вирусы распространять не будут. С остальными не уверен.
За последние 5 дней, вызов процедуры дописывали в файл wp-content/themes/twentytwelve/js/navigation.js.
Сегодня вирус назывался wp-includes/js/mediaelement/michaelj.js.
Это имя всегда меняется, остается js.
Други, возможно ли по логам вычислить этих свалачей? Если нет, какими средствами их вычислить? (Шелы ищу параллельно)
Если эта информация платная, не стесняйтесь, пишите.
 
W

Wmboard

#2
Allex, вы что мазохист, извините конечно :)
Вордпресс не ломают практически. Забирайте дистрибутивы, чистите и переезжайте.
 
A

Allex1

#3
Veter написал(а):
Allex, вы что мазохист, извините конечно :)
Вордпресс не ломают практически. Забирайте дистрибутивы, чистите и переезжайте.
Нажмите для раскрытия...

jino.ru (мой хостер) не единственный, кто не дает нормальные логи, не занимается вирусами и возможно дырявый.
В связи с чем вопрос: как не наступить на те же грабли?
Подскажите, плиз. норм. хостинг.

И ещё, jino.ru использовал около 2 -х лет. Всё у них было ровно и стабильно, пока не начались проблемы, об изменении файлов в логах инфы нет, антивирусная защита отсутствует.
В общем, не рекомендую.
 
F

fenixon

#4
Allex написал(а):
И ещё, jino.ru использовал около 2 -х лет. Всё у них было ровно и стабильно, пока не начались проблемы, об изменении файлов в логах инфы нет, антивирусная защита отсутствует.
В общем, не рекомендую.
Нажмите для раскрытия...

насчет логов вы правы, антивирус и антиспам у них есть вроде Dr.Web копеек 30 или 40 в сутки, а в целом джино хост для начинающих, серьезным проектам там делать нечего а новичкам в самый раз, и ценовая политика у джино позволяет познавать сайтостроительство не "отваливая" кругленькую сумму хостеру. ИМХО
 
A

Allex1

#5
fenixon написал(а):
насчет логов вы правы, антивирус и антиспам у них есть вроде Dr.Web копеек 30 или 40 в сутки, а в целом джино хост для начинающих, серьезным проектам там делать нечего а новичкам в самый раз, и ценовая политика у джино позволяет познавать сайтостроительство не "отваливая" кругленькую сумму хостеру. ИМХО
Нажмите для раскрытия...

Антивирус и антиспам платная опция только для почты, даже когда её подключаешь, спам идет.

Переписка


20.11.2013 14:14
Подключил Dr.web антиспам, но спам идет

Кожухов Евгений 20.11.2013 18:42
Здравствуйте.

Система Dr.Web обладает возможностью обучения. Если вы получаете письма, ошибочно определяемые как не спам, пересылайте их целиком (как вложение) на специальный адрес: vrnonspam@drweb.com. В свою очередь, пропущенный фильтром спам нужно пересылать на vrspam@drweb.com.

Статус заявки изменён на «Требуется ваш ответ» (20.11.2013 18:42, Кожухов Евгений)

21.11.2013 10:43
1. Как пересылать письма как вложения, не понял.
2. У меня есть папка спам, письма оттуда я пересылаю на vrspam@drweb.com? Возможно ли выполнить групповую операцию, а не каждое письмо отдельно пересылать?
3. Не проще ли анализировать мой ящик спам, как это делают mail.ru и др.?

Статус заявки изменён на «Ожидает ответа оператора» (21.11.2013 10:43, lawyer)

Дубовицкий Александр 22.11.2013 18:26
Здравствуйте


1. Как пересылать письма как вложения, не понял.


Сохраните текст письма в отдельным текстовом редакторе.


2. У меня есть папка спам, письма оттуда я пересылаю на vrspam@drweb.com?


Да


Возможно ли выполнить групповую операцию, а не каждое письмо отдельно пересылать?


В одно письмо можно вложить несколько файлов с текстам спама.



Не проще ли анализировать мой ящик спам, как это делают mail.ru и др.?


Мы к сожалению данные операции не проводим.
 
F

fenixon

#6
спросил у саппорта может у них есть платная услуга, что бы изменения файлов посмотреть. вот что ответили:(



Евгений Кожухов, 27.01.2014 16:33. Здравствуйте. Мы можем предоставить логи ftp доступа. На аккаунте изменения файлов не фиксируются.
Нажмите для раскрытия...
 
W

Wmboard

#7
Allex написал(а):
Подскажите, плиз. норм. хостинг.
Нажмите для раскрытия...

Allex, много раз уже писал, поищите в темах новичков по вобле типа сайт с нуля, да и в статейном разделе есть. Тоже что-то типа сайта с нуля называется.
 
Н

Ночная странница

#8
Veter написал(а):
Вордпресс не ломают практически
Нажмите для раскрытия...

Ломают. Меня уже достали ломать один из моих сайтов на вордпресс. Чищу, обновляю, удаляю шеллы, меняю пароли... дня два - и все заново.
Ищу все плагины и методы защиты... Такое ощущение, что кому-то принципиально дался этот домен.
 
W

Wmboard

#9
Ночная странница написал(а):
Ломают. Меня уже достали ломать один из моих сайтов на вордпресс.
Нажмите для раскрытия...

О хостинге не думала?
Если бы ломали вордпресс, то полрунета бложиков лежали бы. Вордпресс самый распространенный бесплатный движок, и если бы его ломали на любом из форумов уже давно стоял бы вой.
Давай угадаю. Хостинг наш, расиянский, с какой нибудь говнопанелью самописной.
У одной тетки сломали сайт. Сайт на html без движка. Что было? Хостинг hc.
Так что вот так.
 
Н

Ночная странница

#10
О хостинге не думала - ломают только этот сайт и в логах - черт знает что, от попыток подбора пароля до простукивания директорий... Жаль я не программист, не понимаю по логам, как в итоге удается взломать.
На этом же хостинге два сайта на других движках, там все тихо-мирно. Но хостинг наш, это да...
Попробовать интереса ради перекинуть на другой? Но что-то мне кажется, толку не будет.

Veter написал(а):
Если бы ломали вордпресс, то полрунета бложиков лежали бы
Нажмите для раскрытия...
Я боюсь, что кому-то дался именн этот сайт.
 
W

Wmboard

#11
Ночная странница написал(а):
Но что-то мне кажется, толку не будет.
Нажмите для раскрытия...

Будет.
Только нужно не забыть при переносе поставить свежую версию движка, а не с хостинга. А также исследовать шаблоны на предмет возможных уязвимостей. Также было бы неплохо хотя бы визуально просмотреть БД, тем более что она скорее всего небольшая, на предмет base64 всяких.

Ночная странница написал(а):
На этом же хостинге два сайта на других движках, там все тихо-мирно.
Нажмите для раскрытия...
На шареде не может быть 3 сайта. Или у тебя сервер? На шареде пару сотен сайтов как минимум.
 
Н

Ночная странница

#12
Veter написал(а):
поставить свежую версию движка
Нажмите для раскрытия...

Я это и так каждый раз делаю. Мне проще папки перекинуть заново, чем вручную все файлы проглядывать и сравнивать. Остаются свои практически только uploadы и themes ну и файл конфига.

Veter написал(а):
А также исследовать шаблоны на предмет возможных уязвимостей
Нажмите для раскрытия...

М... темки нет?

Veter написал(а):
Также было бы неплохо хотя бы визуально просмотреть БД, тем более что она скорее всего небольшая, на предмет base64 всяких.
Нажмите для раскрытия...

6 метров. Просмотрю. не знала, спасибо.

Veter написал(а):
На шареде не может быть 3 сайта
Нажмите для раскрытия...

Я имею ввиду в моем аккаунте три.
 
Н

Ночная странница

#14
В базу полезла... base64 нету, но какая-то непонятность есть...
...
Что я вижу? Кучу разных php залитых, редирект в конфиге типа
Код: 
require_once(ABSPATH.'wp-content/plugins/xcalendar/xcalendar.php');
xcalendar этот как плагин мне пару раз ставили, сносила
 
W

Wmboard

#17
Интуиция :) Нужно плагин посмотреть, чтобы сказать точно. Но это вряд ли взлом...
Если ты удаляешь плагин, то у тебя и папки xcalendar нет и пхпешника. Они должны удалиться при удалении плагина.
 
Н

Ночная странница

#18
Не, ты не понял. Плагин не появляется наверное в админке, по крайней мере мне при "установке" снаружи этого "плагина" доступ в админку сразу блокируется - просто нет формы входа. Плагином я его обозвала только за то, что такая папка появляется в директории плагинов.
Хочешь, пришлю, поковыряешь на досуге. Антивирусник на него не ругается. Просто у меня не было цели исследования, у меня была цель снести... что я и проделывала несколько раз.
 
W

Wmboard

#19
Нет, такой плагин существует. Но, я сомневаюсь, что этот плагин уязвим, если он скачан с офф сайта.
В конфиге нужно убрать эту строчку, на стр плагина нет такого, чтобы при установке нужно было прописывать что-то в конфиг. Посмотреть по фтп папки, удалить ненужные.
То есть, ты считаешь, что тебя взломали лишь потому, что не пускает в админку, или что? Не понял я как-то. Ты подробнее расскажи.

Добавлено через 4 минуты
Да, и поищи плагинчик для защиты от XSS атак. На старых версиях у меня стоят, на новых не ставил, у тебя же новые версии вордпресс поди, а те поди не совместимы. А о какой-то версии WP мне приходили письма о уязвимости.
Да, еще поставь https://lumtu.com/plaginy-dlya-word...chity-ot-vzloma-wordpress-login-lockdown.html лишним не будет.
 
Н

Ночная странница

#20
3. Check your wp-config.php file for a very sneaky line of code (usually at the bottom of the file). This code is something along the lines of:

“require_once (ABSPATH. ‘wp-content/plugins/ xcalendar/xcalendar.php ‘);”

This line of code runs a plugin that has been installed to your WordPress site without you knowing.

4. Login to your WordPress admin panel and go to the plugins section. You will see a new plugin present in the list called “Seo Advisor” by “Phil Smitter” with a link to the plugin author page seoadvisor.com to try and make it look genuine. Delete this plugin and remove all files from your server. This runs the xcalendar files.
Нажмите для раскрытия...

Вот что я про него нарыла сейчас
http://www.ageneralblog.com/wordpress/2015/07/22/wordpress-hacked-with-sophisticated-hack/

Поподробнее... Да особо нечего. Какая-то зараза льет файлы в мои папки вордпресс. а я их чищу... Достало.
В базе ковыряюсь... но боюсь, найти уязвимость мне не под силу, буду кого-то нанимать для этой работы.
 
W

Wmboard

#21
This line of code runs a plugin that has been installed to your WordPress site without you knowing
Нажмите для раскрытия...
Это строка работает, когда плагин был установлен без вашего ведома.
Далее. Удалить этот плагин и все файлы с вашего сервера.
Проверить сайт на доп. администраторов.
Сменить своего администратора.

Если конечно это взлом замаскированный под плагин. Но сам такой плагин существует.
И еще. нужно поставить плагин блокирующий обновления. Обязательно.
И вернись на вордпресс версии 3.9.1 - 3.9.3 Я эти последними ставил. Полет отличный.
 
Н

Ночная странница

#22
Н

Ночная странница

#24
Veter написал(а):
Ты же говорила что устанавливали
Нажмите для раскрытия...

Ну да, при взломе.
Уж плагин-то я точно не буду никого просить ставить))

Veter написал(а):
Не дает движку жить своей жизнью. И плагинам тоже.
Сочтешь нужным обновиться, сделаешь это сама.
Нажмите для раскрытия...

А название не подскажешь?
 
W

Wmboard

#25
Значит я читать разучился :(
Ну тогда базу не ковыряй. Посмотри по своей ссылке что надо сделать.
Дополнительно смени все пароли. После того, как. Найди плагин блокирующий XSS атаки, поставь защиту админки, блокировщик обновлений, смени админа, смени все пароли: в админку, в панель хостинга, пароль в БД. И желательно рашкин хостинг.
 
Н

Ночная странница

#26
По ссылке все сделала. Плюс поставила iThemes Security, настраиваю.
Пока тишина, о дальнейшем развитии событий сообщу.

Блокировщик обновлений так и не нашла, но в этом плагине есть блокировка запуска PHP файлов из пользовательских директорий. а это то, что нужно, я думаю.
 
Н

Ночная странница

#29
iThemes Security - потрясающий плагин! Я теперь прямо из админки смотрю, как они безуспешно пытаются найти свои файлы (в админку копируются все подозрительные действия в виде логов), и хмыкаю, когда происходит очередная блокировка.
Плагин - рекомендую. Надо бы заняться перевести, но времени нет от слова "совсем".
Спасибо за помощь и подсказки, Veter.
 
Н

Ночная странница

#31
Да о чем речь... Могу и всю остальную бяку для коллекции приложить)
Сейчас куда-нибудь закину архивчик и ссылку в личку пришлю.
 
W

Wmboard

#34
Держи русский. Попробуй, пойдет у тебя?
Там только одно слово не переводили умышленно секьюрити.
 
C

Constantine174

#35
Я использую гугл аунтификатор и приложение в телефон. Вообще четко работает.
 
Get involved!

Here you can only see a limited number of comments. On СЕО Форум Вебмастеров you see all comments and all functions are available to you. To the thread